Bakgrund

SELinux (Security Enhanced Linux) är ett obligatoriskt ramverk för åtkomstkontroll som kan användas för att härda Linux-baserade system mot interna och externa attacker. Det kan till exempel användas för att ange vilka delar av filsystemet som är tillgängliga för en demon som en HTTP-server, så att om en angripare får kontroll över demonen är potentialen för ytterligare skada begränsad.

För att detta ska fungera måste SELinux konfigureras med en säkerhetspolicy som är väl anpassad till de legitima behoven hos de program som körs på systemet i fråga. En alltför restriktiv politik kommer att leda till att program misslyckas, ofta utan någon uppenbar indikation på att SELinux är den skyldige. Av denna anledning, när du försöker felsöka ett okänt system är det lämpligt att kontrollera om SELinux är aktiverat i ett tidigt skede för att undvika bortkastad ansträngning.

metod

ett sätt att avgöra om SELinux är aktiverat är kommandot getenforce :

getenforce

det finns tre möjliga resultat:

Disabled

indikerar att SELinux är installerat men inaktivt. Det bör inte ha någon positiv eller negativ effekt på systemets funktion i detta läge.

Permissive

indikerar att SELinux är aktivt, men kommer endast att övervaka överträdelser av säkerhetspolicyn och inte ingripa för att förhindra dem. Du kan observera några ytterligare loggmeddelanden i det här läget, och bootstrap-processen förlängs om det är nödvändigt att märka om filsystemet, men annars borde det ha liten eller ingen inverkan på systemets beteende. Detta läge skulle normalt användas för att underlätta den ursprungliga konfigurationen av SELinux, men det finns ingen anledning till varför det inte kunde lämnas på detta sätt om målet är revision snarare än härdning.

Enforcing

indikerar att SELinux är aktivt och konfigurerat för att förhindra brott mot säkerhetspolicyn. Detta är det läge som används för att härda ett system när den ursprungliga konfigurationen har slutförts. Som sådan kommer det att orsaka att program misslyckas om säkerhetspolicyn är för restriktiv.

alternativ

med kommandot sestatus

det är möjligt att få samma information och mer med kommandotsestatus:

sestatus

med den här metoden rapporteras statusen för SELinux (oavsett om den är aktiverad eller inaktiverad) separat från dess läge (tillåtet eller genomdrivande):

SELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targeted