Miten tarkistaa SELinuxin tila?

SELinux on NSA:n kehittämä Mandatory Access Control (MAC) -järjestelmä. Useimpien Linux-jakeluiden mukana toimitettavan harkinnanvaraisen pääsynvalvonnan (Discretionary Access Control, DAC) korvaajaksi perustettiin SELinux. SELinux 8 on sisäänrakennettu turvamekanismi, josta kaikkien Linux-pohjaisten järjestelmien turvallisuus riippuu. Tässä turvamekanismissa on kolme erilaista toimintatilaa: ”Enforcing” (pakottava), ”Permissive” (salliva) ja ”Disabled” (pois käytöstä), ja voit vaihtaa näiden kolmen tilan välillä omien työvaatimustesi mukaan. Jokainen näistä tiloista palvelee eri tarkoitusta, ja sinun tulisi ymmärtää se täysin ennen SELinuxin oletustilan muuttamista.

Edellisessä SELinuxia käsittelevässä artikkelissamme kerroimme, miten SELinux poistetaan käytöstä. SELinuxin avulla voit rajoittaa prosessin suorittamiseen liittyviä oikeuksia ja lieventää haittoja, joita voi syntyä sovellusten ja järjestelmien haavoittuvuuksien hyödyntämisestä. Tästä syystä, ellei sinulla ole pätevää syytä poistaa sitä käytöstä, on suositeltavaa pitää SELinux täytäntöönpanotilassa. Tänään haluaisimme kuitenkin jakaa kanssasi menetelmän SELinuxin tilan tarkistamiseen CentOS 8:ssa.

Käyttökohde SELinuxin tilan tarkistamiseen CentOS 8:ssa

Lukemalla tämän artikkelin johdannon saatat ihmetellä, miksi SELinuxin tila ylipäätään pitää tarkistaa. Olemme jo todenneet, että Linux-pohjaisten järjestelmien turvallisuus perustuu täysin SELinuxiin. Se tarkoittaa, että sinun on varmistettava koko ajan, että SELinux on käytössä ja käynnissä järjestelmässäsi, ellet kohtaa tilannetta, jossa sinun on poistettava se nimenomaisesti käytöstä.

Koska se on mekanismi, joka toimii taustalla, siksi käyttäjät eivät ole tietoisia sen tilasta. Heidän on erikseen kysyttävä sen tilaa saadakseen tietää, onko SELinux käytössä vai pois käytöstä. Jos se on käytössä, missä tilassa se toimii? Onko se ”Enforcing” vai ”Permissive”? Tässä tilanteessa meillä on oltava asianmukaiset tavat, joilla voimme tiedustella SELinuxin tilaa.

Tietääksesi erilaiset menetelmät SELinuxin tilan tarkistamiseksi CentOS 8:ssa, sinun on käytävä läpi tämän artikkelin seuraava osa.

Menetelmät SELinuxin tilan tarkistamiseen CentOS 8:ssa

Selvittääksesi SELinuxin tilan CentOS 8:ssa voit käyttää mitä tahansa kolmesta alla kuvatusta menetelmästä.

Menetelmä 1: Käyttämällä komentoa ”sestatus”

Tämä on yksinkertaisin ja helpoin menetelmä SELinuxin tilan selvittämiseen, sillä se sisältää vain yhden komentorivin. Jotta voit käyttää komentoa ”sestatus” SELinuxin tilan tarkistamiseen CentOS 8:ssa, sinun on ajettava tämä komento seuraavalla tavalla päätelaitteessa:

$ sestatus

Tämän komennon suorittaminen näyttää paljon muita tietoja kuin SELinuxin tilan CentOS 8:ssa. Meidän tapauksessamme SELinux oli käytössä, joten sen tilaksi on asetettu ”käytössä”, kuten alla olevassa kuvassa korostetaan:

Muuttaa konfigurointitiedostoa, jotta SELinux voidaan poistaa käytöstä CentOS 8:ssa. Tätä varten sinun on ensin päästävä konfiguraatiotiedostoon haluamallasi tekstieditorilla. Voit selata SELinuxin konfiguraatiotiedostoa CentOS 8:ssa suorittamalla terminaalissa oheisen komennon:

$ sudo nano /etc/selinux/config

Yllä mainitun komennon onnistuneen suorittamisen jälkeen SELinuxin konfiguraatiotiedosto aukeaa nanoeditorissa eli oletusarvoisessa editorissa. Sinun on navigoitava muuttujaan nimeltä ’SELinux’ ja muutettava sen teksti tilasta ’enabled’ tilaan ’disabled’. Tämän jälkeen sinun on tallennettava ja suljettava tämä asetustiedosto. On kuitenkin suositeltavaa pitää SELinuxin tila käytössä.

Menetelmä 2: Käyttämällä komentoa ”getenforce”

Tämä on toinen yksinkertainen menetelmä SELinuxin tilan selvittämiseksi, koska tämäkin sisältää yhden rivin komennon. Jos haluat vain tietää SELinuxin tilan, jossa se toimii, kun se on käytössä CentOS 8:ssa, voit käyttää komentoa ”getenforce” seuraavalla tavalla:

$ getenforce

Tämän komennon suorittaminen ei näytä mitään muita tietoja, vaan se paljastaa vain, että SELinux toimii tällä hetkellä ”enforcing”-tilassa, kuten alla olevassa kuvassa korostetaan:

Menetelmä 3: Tiedoston ”/etc/selinux/config” käyttäminen

Jos et tyydy näkemään vain SELinuxin tilaa päätelaitteessa suorittamalla yksinkertainen komento, voit myös halutessasi vilkaista /etc/selinux/config-tiedostoa CentOS 8:ssa. Kaikki SELinuxin asetuksia ja tilaa koskevat tiedot on tallennettu tiedostoon /etc/selinux/config. Jos siis haluat nähdä SELinuxin tilan CentOS 8:ssa, voit halutessasi näyttää tämän tiedoston sisällön myös suorittamalla alla olevan ”cat”-komennon:

$ cat /etc/selinux/config

Heti kun suoritat tämän komennon, SELinuxin konfigurointitiedosto /etc/selinux/config näytetään päätelaitteessasi, josta voit helposti selvittää SELinuxin tilan CentOS 8:lla alla olevassa kuvassa korostetulla tavalla:

Johtopäätös

SELinux on Linuxin apuohjelma, joka tarjoaa Linux-ytimeen kiertotien, joka auttaa pääsynvalvontakäytäntöjä. Käyttämällä mitä tahansa tässä artikkelissa käsitellyistä kolmesta menetelmästä voit helposti selvittää SELinuxin tilan CentOS 8:ssa. Kaikki kolme tässä jaettua menetelmää ovat yhtä tehokkaita, ja käyttäjä voi valita sen menetelmän, josta hän pitää eniten. Kun tiedät SELinuxin tilan, voit myös ottaa sen käyttöön, jos se on aiemmin poistettu käytöstä vahingossa tai tarkoituksella. Seuraamalla tätä ohjetta voit nyt tarkistaa SELinuxin tilan CentOS 8:ssa.

Vastaa

Sähköpostiosoitettasi ei julkaista.