testowany na
Debian (Lenny, Squeeze)
Tło
SELinux (Security Enhanced Linux) jest obowiązkowym frameworkiem kontroli dostępu, który może być używany do utwardzania systemów opartych na Linuksie przed atakami wewnętrznymi i zewnętrznymi. Może być na przykład użyty do określenia, które części systemu plików są dostępne dla demona, takiego jak serwer HTTP, tak, że jeśli atakujący uzyska kontrolę nad demonem, to potencjał dalszych szkód jest ograniczony.
aby to działało, SELinux musi być skonfigurowany z polityką bezpieczeństwa, która jest dobrze dopasowana do uzasadnionych potrzeb programów działających na danym systemie. Zbyt restrykcyjna polityka spowoduje niepowodzenie programów, często bez wyraźnego wskazania, że winowajcą jest SELinux. Z tego powodu podczas próby rozwiązania nieznanego systemu zaleca się sprawdzenie, czy SELinux jest włączony na wczesnym etapie, aby uniknąć zmarnowanego wysiłku.
metoda
jednym ze sposobów określenia, czy SELinux jest włączony, jest poleceniegetenforce
:
getenforce
możliwe są trzy wyniki:
Disabled
wskazuje, że SELinux jest zainstalowany, ale nieaktywny. Nie powinno to mieć pozytywnego ani negatywnego wpływu na działanie systemu w tym trybie.
Permissive
wskazuje, że SELinux jest aktywny, ale będzie tylko monitorować naruszenia polityki bezpieczeństwa i nie interweniować, aby im zapobiec. W tym trybie można zaobserwować dodatkowe komunikaty dziennika, a proces bootstrap zostanie wydłużony, jeśli będzie konieczne ponowne etykietowanie systemu plików, ale w przeciwnym razie powinno to mieć niewielki lub żaden wpływ na zachowanie systemu. Ten tryb normalnie byĹ 'by uĺźywany do uĹ’ atwienia poczÄ … tkowej konfiguracji SELinux, jednak nie ma powodu, dla ktĂłrego nie moĹźna byĹ 'o go pozostawiÄ ‡ w ten sposĂłb, jeĹ” li celem jest audyt, a nie utwardzanie.
Enforcing
wskazuje, że SELinux jest aktywny i skonfigurowany tak, aby zapobiec naruszeniom zasad bezpieczeństwa. Jest to tryb używany do utwardzania systemu po zakończeniu wstępnej konfiguracji. W związku z tym spowoduje to niepowodzenie programów, jeśli polityka bezpieczeństwa jest zbyt restrykcyjna.
alternatywy
przy użyciu polecenia sestatus
można uzyskać te same i więcej informacji przy użyciu polecenia sestatus
:
sestatus
przy użyciu tej metody, status SELinux (czy jest włączony, czy wyłączony) jest raportowany oddzielnie od jego trybu (dopuszczalnego lub
SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted
tagi: SELinux