Nota: tutti i comandi indicati di seguito sono stati eseguiti in CentOS 8. Tuttavia, se si desidera utilizzare qualsiasi altra distribuzione di Linux, allora puoi anche farlo in modo molto comodo.
Comandi di base Selinux
Ci sono alcuni comandi di base che sono usati molto frequentemente con Selinux. Nelle sezioni seguenti, definiremo prima ogni comando, quindi forniremo esempi per mostrarti come utilizzare ogni comando.
Controllo dello stato Selinux
Dopo aver lanciato il terminale in CentOS 8, supponiamo che vorremmo esaminare lo stato di Selinux, i.e., Vorremmo determinare se Selinux è abilitato in CentOS 8. Possiamo visualizzare lo stato di Selinux in CentOS 8 eseguendo il seguente comando nel terminale:
$ SESTATUSL'esecuzione di questo comando ci dirà se Selinux è abilitato in CentOS 8. Selinux è abilitato nel nostro sistema e puoi vedere questo stato evidenziato nell'immagine qui sotto:
Modifica dello stato Selinux
Selinux è sempre abilitato per impostazione predefinita nei sistemi basati su Linux. Tuttavia, se hai voglia di spegnere Selinux o disabilitarlo, puoi farlo modificando il file di configurazione Selinux nel modo seguente:
$ sudo nano/etc/selinux/configQuando viene eseguito questo comando, il file di configurazione Selinux si aprirà con l'Editor Nano, come mostrato nell'immagine seguente:
Ora, è necessario scoprire la variabile Selinux in questo file e modificarne il valore da "applicazione" a "disabilitato", successivamente, premere CTRL+ X per salvare il file di configurazione Selinux e tornare al terminale.
Quando si verifica nuovamente lo stato di Selinux eseguendo il comando "Sestatus" sopra, lo stato nel file di configurazione cambierà in "disabilitato", mentre lo stato corrente sarà comunque "abilitato", come evidenziato nella seguente immagine:
Pertanto, per mettere le modifiche in pieno effetto, dovrai riavviare il sistema CentOS 8 eseguendo il seguente comando:
$ sudo shutdown -r oraDopo aver riavviato il sistema, quando si controlla nuovamente lo stato di Selinux, Selinux verrà disabilitato.
Controllo della modalità di funzionamento Selinux
Selinux è abilitato per impostazione predefinita e funziona nella modalità "applicazione", che è la sua modalità predefinita. È possibile determinarlo eseguendo il comando "SESTATUS" o aprendo il file di configurazione Selinux. Questo può anche essere verificato eseguendo il comando di seguito:
$ getenforceDopo aver eseguito il comando sopra, vedrai che Selinux opera nella modalità "applicazione":
Modifica della modalità di funzionamento Selinux
È sempre possibile modificare la modalità di funzionamento predefinita di Selinux da "applicazione" a "permissiva."Per fare ciò, è necessario utilizzare il comando" Setenforce "nel modo seguente:
$ sudo setenforce 0Se utilizzato con il comando "setenforce", il flag "0" cambia la modalità di Selinux da "applicazione" a "permissiva."È possibile verificare se la modalità predefinita è stata modificata eseguendo di nuovo il comando" getenforce "e vedrai che la modalità Selinux è stata impostata su" permissive ", come evidenziato nell'immagine qui sotto:
Visualizzazione dei moduli politici Selinux
È inoltre possibile visualizzare i moduli della politica Selinux che sono attualmente in esecuzione sul sistema CentOS 8. I moduli politici di Selinux possono essere visualizzati eseguendo il seguente comando nel terminale:
$ sudo semodule -lL'esecuzione di questo comando visualizzerà tutti i moduli politici Selinux attualmente in esecuzione nel tuo terminale, come mostrato nell'immagine seguente. Per accedere all'intero elenco, puoi scorrere verso l'alto o verso il basso.
Generazione del rapporto di registro di audit Selinux
In qualsiasi momento, puoi generare un report dai registri di audit Selinux. Questo rapporto conterrà tutte le informazioni su qualsiasi potenziale evento che è stato bloccato da Selinux e anche come è possibile consentire gli eventi bloccati, se necessario. Questo rapporto può essere generato eseguendo il seguente comando nel terminale:
$ sudo SEALERT -A/var/log/audit/audit.tronco d'alberoNel nostro caso, dal momento che non vi era alcuna attività sospetta, ecco perché il nostro rapporto era molto preciso e non ha generato avvisi, come mostrato nell'immagine qui sotto:
Visualizzazione e cambiamento di Selinux booleano
Ci sono alcune variabili di Selinux il cui valore può essere "acceso" o "OFF."Tali variabili sono note come Selinux booleano. Per visualizzare tutte le variabili booleane Selinux, utilizzare il comando "getsebool" nel modo seguente:
$ sudo getsebool -aL'esecuzione di questo comando visualizzerà un lungo elenco di tutte le variabili di Selinux il cui valore può essere "acceso" o "off", come mostrato nell'immagine seguente:
La cosa migliore di Selinux Boolean è che anche dopo aver modificato i valori di queste variabili, non è necessario riavviare il meccanismo Selinux; Piuttosto, questi cambiamenti hanno effetto immediatamente e automaticamente.
Ora vorremmo mostrarti il metodo per modificare il valore di qualsiasi variabile booleana Selinux. Abbiamo già selezionato una variabile, come evidenziato nell'immagine mostrata sopra, il cui valore è attualmente “OFF."Possiamo attivare questo valore su" on "eseguendo il seguente comando nel nostro terminale:
$ sudo setsebool -p xen_use_nfs suQui, puoi sostituire xen_use_nfs con qualsiasi Selinux booleano a tua scelta il cui valore desideri cambiare.
Dopo aver eseguito il comando sopra, quando si esegue di nuovo il comando "getsebool" per visualizzare tutte le variabili booleane Selinux, sarai in grado di vedere che il valore di Xen_use_NFS è stato impostato su "ON", come evidenziato nell'immagine qui sotto:
Conclusione
In questo articolo, abbiamo discusso di tutti i comandi di base Selinux in CentOS 8. Questi comandi sono usati abbastanza spesso mentre interagiscono con questo meccanismo di sicurezza di Selinux. Pertanto, questi comandi sono considerati estremamente utili.