Determinare se SELinux abilitato

Testato su

Debian (Lenny, Squeeze)

Sfondo

SELinux (Security Enhanced Linux) è un mandatory access control framework che può essere utilizzato per indurire sistemi basati su Linux contro di interni ed esterni di attacco. Può, ad esempio, essere utilizzato per specificare quali parti del filesystem sono accessibili a un demone come un server HTTP, in modo che se un utente malintenzionato ottiene il controllo del demone, il potenziale di ulteriori danni è limitato.

Per funzionare, SELinux deve essere configurato con una politica di sicurezza che sia ben adattata alle esigenze legittime dei programmi in esecuzione sul sistema in questione. Una politica troppo restrittiva causerà il fallimento dei programmi, spesso senza alcuna indicazione ovvia che SELinux sia il colpevole. Per questo motivo, quando si tenta di risolvere un sistema sconosciuto è consigliabile verificare se SELinux è abilitato in una fase iniziale al fine di evitare sforzi sprecati.

Metodo

Un modo per determinare se SELinux è abilitato è tramite il comando getenforce :

getenforce

Ci sono tre possibili risultati:

Disabled

indica che SELinux è installato ma inattivo. Non dovrebbe avere alcun effetto positivo o negativo sul funzionamento del sistema mentre in questa modalità.

Permissive

indica che SELinux è attivo, ma monitora solo le violazioni della politica di sicurezza e non interviene per prevenirle. È possibile osservare alcuni messaggi di log aggiuntivi in questa modalità e il processo di bootstrap verrà allungato se è necessario rietichettare il filesystem, ma altrimenti dovrebbe avere un impatto minimo o nullo sul comportamento del sistema. Questa modalità sarebbe normalmente utilizzata per facilitare la configurazione iniziale di SELinux, tuttavia non vi è alcun motivo per cui non possa essere lasciata in questo modo se l’obiettivo è l’auditing piuttosto che l’indurimento.

Enforcing

indica che SELinux è attivo e configurato per prevenire violazioni dei criteri di sicurezza. Questa è la modalità utilizzata per indurire un sistema una volta completata la configurazione iniziale. In quanto tale, causerà il fallimento dei programmi se la politica di sicurezza è troppo restrittiva.

Alternative

Utilizzando il comando sestatus

è possibile ottenere le stesse informazioni, in più utilizzando il sestatus comando:

sestatus

l’Utilizzo di questo metodo, lo stato di SELinux (se è abilitato o disabilitato) è riportato separatamente dalla modalità (permissive o di applicazione):

SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted

Tag:selinux

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.