Poznámka: Všechny níže uvedené příkazy byly provedeny v CentOS 8. Pokud však chcete použít jakoukoli jinou distribuci Linuxu, můžete to udělat také velmi pohodlně.
Základní příkazy SELinux
U SELinuxu se velmi často používá několik základních příkazů. V následujících částech nejprve uvedeme každý příkaz, poté poskytneme příklady, které vám ukážou, jak každý příkaz používat.
Kontrola stavu SELinuxu
Po spuštění terminálu v CentOS 8 předpokládejme, že bychom rádi prozkoumali stav SELinuxu, t.E., rádi bychom zjistili, zda je v CentOS 8 povolen SELinux. Můžeme zobrazit stav SELinuxu v CentOS 8 spuštěním následujícího příkazu v terminálu:
$ sestatus
Spuštění tohoto příkazu nám řekne, zda je v CentOS 8 povolen SELinux. SELinux je v našem systému povolen a tento stav můžete vidět zvýrazněný na obrázku níže:
Změna stavu SELinuxu
SELinux je v systémech založených na Linuxu ve výchozím nastavení vždy povolen. Pokud však máte chuť SELinux vypnout nebo deaktivovat, můžete to provést vyladěním konfiguračního souboru SELinux následujícím způsobem:
$ sudo nano / etc / selinux / config
Po provedení tohoto příkazu se otevře konfigurační soubor SELinux s nano editorem, jak je znázorněno na obrázku níže:
Nyní musíte v tomto souboru zjistit proměnnou SELinux a změnit její hodnotu z „Enforcing“ na „Disabled“. Poté stiskněte Ctrl + X, abyste uložili konfigurační soubor SELinux a vrátili se zpět k terminálu.
Když znovu zkontrolujete stav SELinuxu spuštěním výše uvedeného příkazu „sestatus“, stav v konfiguračním souboru se změní na „Zakázáno“, zatímco aktuální stav bude stále „Povoleno“, jak je zvýrazněno na následujícím obrázku:
Chcete-li tedy změny plně uplatnit, budete muset restartovat systém CentOS 8 spuštěním následujícího příkazu:
$ sudo shutdown -r nyní
Po restartu systému, když znovu zkontrolujete stav SELinuxu, bude SELinux deaktivován.
Kontrola provozního režimu SELinux
SELinux je ve výchozím nastavení povolen a funguje v režimu „Enforcing“, což je jeho výchozí režim. Můžete to zjistit spuštěním příkazu „sestatus“ nebo otevřením konfiguračního souboru SELinux. To lze také ověřit spuštěním následujícího příkazu:
$ getenforce
Po provedení výše uvedeného příkazu uvidíte, že SELinux pracuje v režimu „Vynucování“:
Změna provozního režimu SELinux
Výchozí provozní režim SELinuxu můžete kdykoli změnit z „Enforcing“ na „Permissive.„Chcete-li to provést, musíte použít příkaz„ setenforce “následujícím způsobem:
$ sudo setenforce 0
Při použití s příkazem „setenforce“ změní příznak „0“ režim SELinuxu z „Enforcing“ na „Permissive“.„Ověření, zda byl změněn výchozí režim, lze provést opětovným spuštěním příkazu„ getenforce “a uvidíte, že režim SELinux byl nastaven na„ Permissive “, jak je zvýrazněno na obrázku níže:
Prohlížení modulů zásad SELinux
Můžete si také prohlédnout moduly zásad SELinux, které aktuálně běží na vašem systému CentOS 8. Moduly zásad SELinuxu lze zobrazit spuštěním následujícího příkazu v terminálu:
$ sudo semodule -l
Po provedení tohoto příkazu se zobrazí všechny aktuálně spuštěné moduly zásad SELinux ve vašem terminálu, jak je znázorněno na obrázku níže. Chcete-li otevřít celý seznam, můžete procházet nahoru nebo dolů.
Generování zprávy protokolu auditu SELinux
Kdykoli můžete vygenerovat zprávu ze svých protokolů auditu SELinux. Tato zpráva bude obsahovat všechny informace týkající se jakékoli potenciální události, která byla zablokována SELinuxem, a také to, jak můžete povolit blokované události v případě potřeby. Tuto zprávu lze vygenerovat spuštěním následujícího příkazu v terminálu:
$ sudo sealert -a / var / log / audit / audit.log
V našem případě, protože nedocházelo k žádné podezřelé aktivitě, proto byla naše zpráva velmi přesná a nevygenerovala žádná upozornění, jak ukazuje obrázek níže:
Prohlížení a změna SELinux Boolean
Existují určité proměnné SELinuxu, jejichž hodnota může být „zapnutá“ nebo „vypnutá“.„Takové proměnné jsou známé jako SELinux Boolean. Chcete-li zobrazit všechny logické proměnné SELinux, použijte příkaz „getsebool“ následujícím způsobem:
$ sudo getsebool -a
Po provedení tohoto příkazu se zobrazí dlouhý seznam všech proměnných SELinuxu, jejichž hodnota může být „zapnutá“ nebo „vypnutá“, jak je znázorněno na obrázku níže:
Nejlepší věc na SELinux Boolean je, že i po změně hodnot těchto proměnných není nutné restartovat mechanismus SELinux; tyto změny se projeví okamžitě a automaticky.
Nyní bychom vám chtěli ukázat způsob změny hodnoty jakékoli proměnné SELinux Boolean. Již jsme vybrali proměnnou, jak je zvýrazněno na obrázku výše, jehož hodnota je aktuálně „vypnuta.„Tuto hodnotu můžeme přepnout na„ on “spuštěním následujícího příkazu v našem terminálu:
$ sudo setsebool -P xen_use_nfs ZAPNUTOZde můžete nahradit xen_use_nfs jakýmkoli SELinux Boolean podle vašeho výběru, jehož hodnotu chcete změnit.
Po spuštění výše uvedeného příkazu, když znovu spustíte příkaz „getsebool“ a zobrazíte všechny booleovské proměnné SELinux, uvidíte, že hodnota xen_use_nfs byla nastavena na „on“, jak je zvýrazněno na obrázku níže:
Závěr
V tomto článku jsme probrali všechny základní příkazy SELinux v CentOS 8. Tyto příkazy se používají poměrně často při interakci s tímto bezpečnostním mechanismem SELinuxu. Proto jsou tyto příkazy považovány za velmi užitečné.