fundal

SELinux (Security Enhanced Linux) este un cadru obligatoriu de control al accesului care poate fi utilizat pentru a întări sistemele bazate pe Linux împotriva atacurilor interne și externe. Poate fi folosit, de exemplu, pentru a specifica ce părți ale sistemului de fișiere sunt accesibile unui demon, cum ar fi un server HTTP, astfel încât, dacă un atacator câștigă controlul asupra demonului, atunci potențialul de rău suplimentar este limitat.

pentru ca acest lucru să funcționeze, SELinux trebuie să fie configurat cu o politică de securitate care este bine adaptată nevoilor legitime ale programelor care rulează pe sistemul în cauză. O politică supra-restrictivă va face ca programele să eșueze, adesea fără niciun indiciu evident că SELinux este vinovatul. Din acest motiv, atunci când încercați să depanați un sistem necunoscut, este recomandabil să verificați dacă SELinux este activat într-un stadiu incipient pentru a evita efortul irosit.

metoda

o modalitate de a determina dacă SELinux este activat este prin intermediul getenforce comanda:

getenforce

există trei rezultate posibile:

Disabled

indică faptul că SELinux este instalat, dar inactiv. Nu ar trebui să aibă niciun efect pozitiv sau negativ asupra funcționării sistemului în acest mod.

Permissive

indică faptul că SELinux este activ, dar va monitoriza doar încălcările politicii de securitate și nu va interveni pentru a le preveni. Este posibil să observați câteva mesaje de jurnal suplimentare în acest mod, iar procesul bootstrap va fi prelungit dacă este necesar să reetichetați sistemul de fișiere, dar altfel ar trebui să aibă un impact redus sau deloc asupra comportamentului sistemului. Acest mod ar fi utilizat în mod normal pentru a facilita configurația inițială a SELinux, cu toate acestea, nu există niciun motiv pentru care nu ar putea fi lăsat în acest fel dacă obiectivul este mai degrabă auditarea decât întărirea.

Enforcing

indică faptul că SELinux este activ și configurat pentru a preveni încălcarea politicii de securitate. Acesta este modul utilizat pentru a întări un sistem odată ce configurația inițială a fost finalizată. Ca atare, va provoca eșecul programelor dacă Politica de securitate este prea restrictivă.

Alternative

folosind comanda sestatus

este posibil să obțineți aceleași informații și mai multe folosind comandasestatus:

sestatus

folosind această metodă, starea SELinux (indiferent dacă este activată sau dezactivată) este raportată separat de modul său (permisiv sau):

SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted