Jak zkontrolovat stav SELinuxu?

SELinux je systém povinného řízení přístupu (MAC), který vyvinula NSA. Jako náhrada za diskrétní řízení přístupu (DAC), které je dodáváno s většinou linuxových distribucí, vznikl systém SELinux. SELinux 8 je vestavěný bezpečnostní mechanismus, na kterém závisí bezpečnost všech systémů založených na Linuxu. Tento bezpečnostní mechanismus má tři různé režimy činnosti, tj. „Enforcing“ (vynucující), „Permissive“ (povolující) a „Disabled“ (zakázaný), a mezi těmito třemi režimy lze přepínat podle konkrétních pracovních požadavků. Každý z těchto režimů slouží jinému účelu a před změnou výchozího režimu SELinuxu byste mu měli plně porozumět.

V našem předchozím článku o SELinuxu jsme se s vámi podělili o způsob jeho vypnutí. SELinux vám umožňuje omezit práva související se spouštěním procesů a zmírnit škody, které by mohly vzniknout zneužitím zranitelností v aplikacích a systémech. Z tohoto důvodu, pokud nemáte oprávněný důvod jej zakázat, doporučujeme ponechat SELinux v režimu vynucování. Dnes bychom se s vámi však rádi podělili o způsob kontroly stavu SELinuxu v systému CentOS 8.

Případ použití kontroly stavu SELinuxu v systému CentOS 8

Po přečtení úvodu tohoto článku vás možná napadne, proč vůbec potřebujeme kontrolovat stav SELinuxu. Již jsme uvedli, že bezpečnost systémů založených na Linuxu závisí výhradně na systému SELinux. To znamená, že byste se měli neustále ujišťovat, že je SELinux v systému povolen a spuštěn, pokud nenastane situace, kdy byste jej museli explicitně zakázat.

Je to mechanismus, který běží na pozadí, proto uživatelé o jeho stavu nevědí. Aby se dozvěděli, zda je systém SELinux povolen nebo zakázán, musí se na jeho stav výslovně dotázat. Pokud je povolen, v jakém režimu pracuje? Je to „vynucující“ nebo „povolující“? V této situaci musíme mít správné způsoby, kde se můžeme na stav SELinuxu zeptat.

Pro poznání různých metod zjišťování stavu SELinuxu v systému CentOS 8 je třeba projít následující část tohoto článku.

Metody zjišťování stavu SELinuxu v systému CentOS 8

Pro zjišťování stavu SELinuxu v systému CentOS 8 můžete použít některou ze tří níže popsaných metod.

Metoda 1: Použití příkazu „sestatus“

Jedná se o nejjednodušší a nejsnadnější metodu zjišťování stavu SELinuxu, protože obsahuje pouze jednořádkový příkaz. Chcete-li použít příkaz „sestatus“ pro zjištění stavu systému SELinux v systému CentOS 8, musíte tento příkaz spustit v terminálu následujícím způsobem:

$ sestatus

Spuštěním tohoto příkazu se zobrazí mnoho jiných informací než stav systému SELinux v systému CentOS 8. Pokud chcete zjistit stav systému SELinux, můžete použít příkaz „sestatus“. V našem případě byl SELinux povolen, proto je jeho stav nastaven na „enabled“, jak je zvýrazněno na obrázku níže:

Pro zakázání SELinuxu v systému CentOS 8 je třeba upravit konfigurační soubor. Chcete-li to provést, musíte nejprve přistoupit ke konfiguračnímu souboru pomocí libovolného textového editoru podle svých preferencí. Konfigurační soubor SELinux v systému CentOS 8 můžete procházet spuštěním připojeného příkazu v terminálu:

$ sudo nano /etc/selinux/config

Po úspěšném provedení výše uvedeného příkazu se konfigurační soubor SELinux otevře v editoru nano, tj. výchozím editoru. Je třeba přejít na proměnnou pojmenovanou jako ‚SELinux‘ a změnit její text z ‚enabled‘ na ‚disabled‘. Poté musíte tento konfigurační soubor uložit a zavřít. Doporučujeme však ponechat stav SELinuxu jako povolený.

Metoda 2: Použití příkazu „getenforce“

Jedná se o další jednoduchou metodu zjištění stavu SELinuxu, protože se rovněž jedná o jednořádkový příkaz. Pokud chcete pouze zjistit režim SELinuxu, ve kterém pracuje, když je povolen v systému CentOS 8, můžete využít příkaz „getenforce“ následujícím způsobem:

$ getenforce

Provedení tohoto příkazu nezobrazí žádné další informace, spíše pouze odhalí, že váš SELinux aktuálně pracuje v režimu „enforcing“, jak je zvýrazněno na obrázku níže:

Metoda 3: Použití souboru „/etc/selinux/config“

Pokud vás neuspokojuje pouze zobrazení stavu systému SELinux na terminálu spuštěním jednoduchého příkazu, můžete se v systému CentOS 8 také rozhodnout podívat do souboru /etc/selinux/config. Všechny informace týkající se nastavení a stavu systému SELinux jsou uloženy v souboru /etc/selinux/config. Pokud tedy chcete zjistit stav systému SELinux v systému CentOS 8, můžete se také rozhodnout zobrazit obsah tohoto souboru spuštěním níže uvedeného příkazu „cat“:

$ cat /etc/selinux/config

Jakmile spustíte tento příkaz, zobrazí se v terminálu konfigurační soubor SELinux, /etc/selinux/config, ze kterého můžete snadno zjistit stav systému SELinux v systému CentOS 8, jak je zvýrazněno na obrázku níže:

Závěr

SELinux je linuxový nástroj, který v jádře Linuxu nabízí obcházení zásad zabezpečení řízení přístupu. Pomocí některé ze tří metod popsaných v tomto článku můžete snadno zjistit stav SELinuxu v systému CentOS 8. Všechny tři zde sdílené metody jsou stejně účinné a uživatel si může vybrat, která z nich mu vyhovuje nejvíce. Zjištěním stavu systému SELinux jej můžete také povolit, pokud byl v minulosti omylem nebo záměrně zakázán. Podle tohoto návodu jste nyní schopni zkontrolovat stav systému SELinux v systému CentOS 8.

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.