Phenquestions
V dnešním článku bychom se s vámi chtěli podělit o způsoby nastavení SELinuxu do „permisivního“ režimu poté, co vás provedeme jeho důležitými detaily.
Co je SELinux Permissive Mode?
„Permisivní“ režim je také jedním ze tří režimů, ve kterých SELinux pracuje, tj.E., „Vynucování“, „Povolení“ a „Zakázáno“. Jedná se o tři konkrétní kategorie režimů SELinux, zatímco obecně lze říci, že v každém konkrétním případě bude SELinux buď „povolen“, nebo „zakázán“. Režimy „Prosazování“ a „Povolení“ spadají do kategorie „Povoleno“. Jinými slovy to znamená, že kdykoli je SELinux povolen, bude pracovat buď v režimu „Vynucování“, nebo v režimu „Povolení“.
To je důvod, proč se většina uživatelů zaměňuje mezi režimy „Vynucování“ a „Povolení“, protože oba spadají do kategorie „Povoleno“. Rádi bychom mezi těmito dvěma způsoby jasně rozlišili tím, že nejprve definujeme jejich účely a poté je namapujeme na příklad. Režim „Vynucování“ funguje implementací všech pravidel, která jsou uvedena v bezpečnostní politice SELinuxu. Blokuje přístup všem uživatelům, kteří nemají povolen přístup k určitému objektu v zásadách zabezpečení. Tato aktivita je navíc zaznamenána také do souboru protokolu SELinux.
Na druhou stranu „permisivní“ režim neblokuje nechtěný přístup, spíše jednoduše zaznamená všechny takové aktivity do souboru protokolu. Proto se tento režim používá hlavně pro sledování chyb, auditování a přidávání nových pravidel zásad zabezpečení. Nyní zvažte příklad uživatele „A“, který si přeje získat přístup k adresáři s názvem „ABC“. V bezpečnostní politice SELinuxu je uvedeno, že uživateli „A“ bude vždy odepřen přístup do adresáře „ABC“.
Nyní, pokud je váš SELinux povolen a pracuje v režimu „Vynucování“, pak kdykoli se uživatel „A“ pokusí o přístup do adresáře „ABC“, přístup bude odepřen a tato událost bude zaznamenána do souboru protokolu. Na druhou stranu, pokud váš SELinux pracuje v „permisivním“ režimu, pak bude uživateli „A“ povolen přístup do adresáře „ABC“, ale přesto bude tato událost zaznamenána do souboru protokolu, takže správce může vědět, kde došlo k narušení bezpečnosti.
Metody nastavení SELinuxu do permisivního režimu na CentOS 8
Nyní, když jsme plně pochopili účel „permisivního“ režimu SELinuxu, můžeme snadno hovořit o metodách nastavení SELinuxu do „permisivního“ režimu na CentOS 8. Než však přejdete k těmto metodám, je vždy dobré zkontrolovat výchozí stav SELinuxu spuštěním následujícího příkazu ve vašem terminálu:
$ sestatus
Výchozí režim SELinuxu je zvýrazněn na obrázku níže:
Způsob dočasného nastavení SELinuxu na permisivní režim na CentOS 8
Dočasným nastavením SELinuxu na „permisivní“ režim máme na mysli, že tento režim bude povolen pouze pro aktuální relaci a jakmile restartujete systém, SELinux obnoví svůj výchozí provozní režim, tj.E., režim „Vynucování“. Pro dočasné nastavení SELinuxu do „permisivního“ režimu musíte na terminálu CentOS 8 spustit následující příkaz:
$ sudo setenforce 0
Nastavením hodnoty příznaku „setenforce“ na „0“ zásadně měníme jeho hodnotu na „Permissive“ z „Enforcing“. Spuštěním tohoto příkazu se nezobrazí žádný výstup, jak můžete vidět z obrázku připojeného níže.
Nyní, abychom ověřili, zda byl SELinux v CentOS 8 nastaven na „permisivní“ režim, spustíme v terminálu následující příkaz:
$ getenforce
Spuštěním tohoto příkazu se vrátí aktuální režim SELinuxu, který bude „permisivní“, jak je zvýrazněno na obrázku níže. Jakmile však restartujete systém, SELinux se vrátí zpět do režimu „Vynucování“.
Metoda trvalého nastavení SELinuxu na permisivní režim na CentOS 8
Již jsme v Metodě č. 1 uvedli, že po provedení výše uvedené metody bude SELinux pouze dočasně nastaven do režimu „Permissive“. Pokud však chcete, aby tyto změny byly k dispozici i po restartování systému, budete muset přistupovat ke konfiguračnímu souboru SELinux následujícím způsobem:
$ sudo nano / etc / selinux / config
Konfigurační soubor SELinuxu je zobrazen na obrázku níže:
Nyní musíte nastavit hodnotu proměnné „SELinux“ na „permisivní“, jak je zvýrazněno na následujícím obrázku, poté můžete soubor uložit a zavřít.
Nyní musíte znovu zkontrolovat stav SELinuxu, abyste zjistili, zda byl jeho režim změněn na „Permissive“ nebo ne. Můžete to provést spuštěním následujícího příkazu v terminálu:
$ sestatus
Ze zvýrazněné části obrázku zobrazeného níže můžete vidět, že právě teď je změněn pouze režim z konfiguračního souboru na „Permissive“, zatímco aktuální režim je stále „Enforcing“.
Aby se naše změny projevily, restartujeme náš systém CentOS 8 spuštěním následujícího příkazu v terminálu:
$ sudo shutdown -r nyní
Po restartování systému, kdy znovu zkontrolujete stav SELinuxu pomocí příkazu „sestatus“, si všimnete, že aktuální režim byl také nastaven na „Permissive“.
Závěr:
V tomto článku jsme se naučili rozdíl mezi režimy „Enforcing“ a „Permissive“ SELinuxu. Poté jsme s vámi sdíleli dvě metody nastavení SELinuxu do „permisivního“ režimu v CentOS 8. První metoda je pro dočasnou změnu režimu, zatímco druhá metoda je pro trvalou změnu režimu na „permisivní“. Podle svých požadavků můžete použít kteroukoli ze dvou metod.
