Fundo

o SELinux (Security Enhanced Linux) é um controle de acesso obrigatório framework que pode ser utilizado para proteger os sistemas baseados em Linux contra ataques internos e externos. Ele pode, por exemplo, ser usado para especificar quais partes do sistema de arquivos são acessíveis a um servidor como um Servidor HTTP, de modo que se um atacante ganha o controle do daemon então o potencial para danos adicionais é limitado.

para que isso funcione, o SELinux deve ser configurado com uma política de segurança que seja bem compatível com as necessidades legítimas dos programas em execução no sistema em questão. Uma política excessivamente restritiva fará com que programas falham, muitas vezes sem qualquer indicação óbvia de que SELinux é o culpado. Por esta razão, ao tentar solucionar um sistema desconhecido, é aconselhável verificar se o SELinux está habilitado numa fase inicial, a fim de evitar o esforço desperdiçado.

método

uma forma de determinar se o SELinux está activo é por meio do comando getenforce :

getenforce

Existem três resultados possíveis:

Disabled

indica que o SELinux está instalado, mas está inativo. Não deve ter qualquer efeito positivo ou negativo sobre o funcionamento do sistema durante este modo.

Permissive

indica que o SELinux está ativo, mas apenas monitora violações da Política de segurança e não intervém para evitá-las. Você pode observar algumas mensagens de log adicionais enquanto Neste modo, e o processo de bootstrap será alongado se for necessário rotular novamente o sistema de arquivos, mas caso contrário ele deve ter pouco ou nenhum impacto no comportamento do sistema. Este modo normalmente seria usado para facilitar a configuração inicial do SELinux, no entanto não há nenhuma razão pela qual ele não poderia ser deixado desta forma se o objetivo é auditoria ao invés de endurecer.

Enforcing

indica que o SELinux está ativo e configurado para prevenir violações da Política de segurança. Este é o modo usado para endurecer um sistema Uma vez terminada a configuração inicial. Como tal, fará com que os programas falham se a Política de segurança for demasiado restritiva.

Alternativas

Usando o sestatus comando

é possível obter as mesmas informações e muito mais usando o sestatus comando:

sestatus

Usando este método, o estado do SELinux (se ele está ativado ou desativado) é informado separadamente do seu (modo permissivo ou de aplicação):

SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted