Phenquestions
Tämänpäiväisessä artikkelissa haluaisimme jakaa kanssasi menetelmät, joilla SELinux asetetaan "Permissive" -tilaan sen jälkeen kun olet tutustunut sen tärkeisiin yksityiskohtiin.
Mikä on SELinux Permissive Mode?
"Permissive" -tila on myös yksi kolmesta tilasta, joissa SELinux toimii, ts.e., ”Pakottaminen”, “Salliva” ja “Estetty”. Nämä ovat kolme erityistä SELinux-tilan luokkaa, kun taas yleisesti voimme sanoa, että missä tahansa tietyssä tapauksessa SELinux on joko "käytössä" tai "pois käytöstä". Sekä valvontatila että salliva tila kuuluvat molemmat luokkaan Käytössä. Toisin sanoen, se tarkoittaa, että aina kun SELinux on käytössä, se toimii joko ”Pakottava” -tilassa tai ”Permissive” -tilassa.
Siksi suurin osa käyttäjistä sekoittuu ”Pakottaminen” - ja ”Permissiivinen” -tilojen välillä, koska loppujen lopuksi ne molemmat kuuluvat Enabled-luokkaan. Haluamme tehdä selvän eron näiden kahden välillä määrittelemällä ensin niiden tarkoitukset ja kartoittamalla sen sitten esimerkkiin. ”Pakottaminen” -tila toimii toteuttamalla kaikki SELinux-tietoturvakäytännössä mainitut säännöt. Se estää kaikkien käyttäjien pääsyn tiettyihin kohteisiin tietoturvakäytännössä. Lisäksi tämä toiminta kirjataan myös SELinux-lokitiedostoon.
Toisaalta "Permissive" -tila ei estä ei-toivottua pääsyä, vaan yksinkertaisesti tallentaa kaikki tällaiset toiminnot lokitiedostoon. Siksi tätä tilaa käytetään enimmäkseen virheiden seuraamiseen, tarkastamiseen ja uusien tietoturvasääntöjen lisäämiseen. Tarkastellaan nyt esimerkkiä käyttäjästä A, joka haluaa käyttää hakemistoa nimeltä ABC. SELinux-tietoturvakäytännössä mainitaan, että käyttäjältä "A" evätään aina pääsy hakemistoon "ABC".
Jos SELinux on käytössä ja toimii ”Pakottaminen” -tilassa, aina kun käyttäjä “A” yrittää käyttää hakemistoa ”ABC”, pääsy evätään ja tämä tapahtuma tallennetaan lokitiedostoon. Toisaalta, jos SELinux toimii "Permissive" -tilassa, käyttäjä "A" saa käyttää hakemistoa "ABC", mutta silti tämä tapahtuma tallennetaan lokitiedostoon niin, että järjestelmänvalvoja voi tietää missä tietoturvaloukkaus tapahtui.
Menetelmät SELinuxin asettamiseksi sallivaan tilaan CentOS 8: ssa
Nyt kun olemme täysin ymmärtäneet SELinuxin "Permissive" -tilan tarkoituksen, voimme helposti puhua menetelmistä, joilla SELinux asetetaan "Permissive" -tilaan CentOS 8: ssa. Ennen näiden menetelmien aloittamista on kuitenkin aina hyvä tarkistaa SELinuxin oletusarvo suorittamalla seuraava komento päätelaitteessasi:
$ sestatus
SELinuxin oletustila on korostettu alla olevassa kuvassa:
Menetelmä SELinuxin tilapäiseksi asettamiseksi sallivaan tilaan CentOS 8: ssa
Asettamalla SELinux väliaikaisesti “Permissive” -tilaan tarkoitamme, että tämä tila otetaan käyttöön vain nykyisessä istunnossa ja heti kun käynnistät järjestelmän uudelleen, SELinux palaa oletusarvoiseen toimintatilaansa, i.e., ”Pakottaminen” -tilassa. Jos haluat väliaikaisesti asettaa SELinuxin "Permissive" -tilaan, sinun on suoritettava seuraava komento CentOS 8 -päätteessäsi:
$ sudo setenforce 0
Asettamalla setenforce-lipun arvoksi “0”, muutamme olennaisesti sen arvoksi ”Permissive” eikä ”Enforcing”. Tämän komennon suorittaminen ei näytä tulosta, kuten voit tarkastella alla olevasta kuvasta.
Varmistaaksemme nyt, onko SELinux asetettu "Permissive" -tilaan CentOS 8: ssa, vai ei, suoritamme seuraavan komennon päätelaitteessa:
$ getenforce
Tämän komennon suorittaminen palauttaa nykyisen SELinux-tilan, joka on "Permissive", kuten alla olevassa kuvassa korostetaan. Kuitenkin heti, kun käynnistät järjestelmän uudelleen, SELinux palaa ”Enforcing” -tilaan.
Menetelmä SELinuxin asettamiseksi pysyvästi sallivaan tilaan CentOS 8: ssa
Olemme jo todenneet menetelmässä # 1, että yllä olevan menetelmän noudattaminen asettaa SELinuxin vain väliaikaisesti "Permissive" -tilaan. Jos kuitenkin haluat näiden muutosten tapahtuvan myös järjestelmän uudelleenkäynnistyksen jälkeen, sinun on käytettävä SELinux-määritystiedostoa seuraavalla tavalla:
$ sudo nano / etc / selinux / config
SELinuxin määritystiedosto näkyy alla olevassa kuvassa:
Nyt sinun täytyy asettaa SELinux-muuttujan arvoksi "salliva", kuten seuraavassa kuvassa korostetaan, jonka jälkeen voit tallentaa ja sulkea tiedoston.
Nyt sinun on tarkistettava SELinuxin tila vielä kerran saadaksesi selville, onko sen tila vaihdettu "sallivaksi" vai ei. Voit tehdä tämän suorittamalla seuraavan komennon päätelaitteessasi:
$ sestatus
Alla olevan kuvan korostetusta osasta näet, että juuri nyt vain määritystiedoston tila muutetaan tilaksi "Permissive", kun taas nykyinen tila on edelleen "Enforcing".
Nyt, jotta muutoksemme tulevat voimaan, käynnistämme CentOS 8 -järjestelmän uudelleen suorittamalla seuraavan komennon terminaalissa:
$ sudo shutdown -r nyt
Järjestelmän uudelleenkäynnistyksen jälkeen, kun tarkistat SELinuxin tilan uudelleen sestatus-komennolla, huomaat, että myös nykyiseksi tilaksi on asetettu "Permissive".
Päätelmä:
Tässä artikkelissa opimme eron SELinuxin "Pakottaminen" - ja "Permissive" -moodien välillä. Sitten jaoimme kanssasi kaksi tapaa asettaa SELinux "Permissive" -tilaan CentOS 8: ssa. Ensimmäinen menetelmä on tilan väliaikainen vaihtaminen, kun taas toinen menetelmä on tilan muuttaminen pysyvästi "sallivaksi". Voit käyttää mitä tahansa näistä kahdesta menetelmästä tarpeidesi mukaan.
