Achtergrond

SELinux (Security Enhanced Linux) is een verplicht Toegangscontrole raamwerk dat kan worden gebruikt om op Linux gebaseerde systemen te harden tegen interne en externe aanvallen. Het kan bijvoorbeeld worden gebruikt om aan te geven welke delen van het bestandssysteem toegankelijk zijn voor een daemon zoals een HTTP-server, zodat als een aanvaller controle krijgt over de daemon, de kans op verdere schade beperkt is.

om dit te laten werken, moet SELinux geconfigureerd worden met een beveiligingsbeleid dat goed afgestemd is op de legitieme behoeften van de programma ‘ s die draaien op het systeem in kwestie. Een over-beperkende tactiek zal ervoor zorgen dat programma ‘ s falen, vaak zonder enige duidelijke aanwijzing dat SELinux de boosdoener is. Om deze reden, wanneer geprobeerd wordt een onbekend systeem op te lossen, is het raadzaam om te controleren of SELinux in een vroeg stadium ingeschakeld is om verspilde moeite te vermijden.

methode

een manier om te bepalen of SELinux is ingeschakeld is door middel van hetgetenforce Commando:

getenforce

Er zijn drie mogelijke resultaten:

Disabled

geeft aan dat SELinux is geïnstalleerd maar inactief. Het mag geen positief of negatief effect hebben op de werking van het systeem tijdens deze modus.

Permissive

geeft aan dat SELinux actief is, maar zal alleen schendingen van het beveiligingsbeleid controleren en niet ingrijpen om ze te voorkomen. In deze modus kun je nog wat extra logmeldingen waarnemen, en het bootstrap proces zal verlengd worden als het nodig is om het bestandssysteem opnieuw te labelen, maar anders zou het weinig of geen invloed moeten hebben op het gedrag van het systeem. Deze mode zou normaal gesproken gebruikt worden om de initiële configuratie van SELinux te faciliteren, maar er is geen reden waarom het niet op deze manier gelaten kan worden als het doel auditing is in plaats van verharding.

Enforcing

geeft aan dat SELinux actief is en geconfigureerd om schendingen van het beveiligingsbeleid te voorkomen. Dit is de modus die wordt gebruikt om een systeem uit te harden zodra de initiële configuratie is voltooid. Als zodanig zal het programma ‘ s doen mislukken als het beveiligingsbeleid te restrictief is.

Alternatieven

met Behulp van het sestatus commando

Het is mogelijk om dezelfde informatie te verkrijgen en meer met behulp van de sestatus commando:

sestatus

met Behulp van deze methode, de status van SELinux (of deze is ingeschakeld of uitgeschakeld) wordt afzonderlijk gerapporteerd naast de modus (de toelatende of afdwingende):

SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted