Hogyan ellenőrizze a SELinux állapotát?

A SELinux egy kötelező hozzáférés-ellenőrző (MAC) rendszer, amelyet az NSA fejlesztett ki. A legtöbb Linux disztribúcióval szállított diszkrecionális hozzáférés-szabályozás (DAC) helyettesítésére jött létre a SELinux. A SELinux 8 egy beépített biztonsági mechanizmus, amelytől az összes Linux alapú rendszer biztonsága függ. Ez a biztonsági mechanizmus három különböző működési móddal rendelkezik: “Enforcing”, “Permissive” és “Disabled”, és e három mód között a sajátos munkakövetelményeknek megfelelően lehet váltani. Mindegyik üzemmód más-más célt szolgál, és a SELinux alapértelmezett üzemmódjának megváltoztatása előtt teljes mértékben meg kell értenie azt.

A SELinuxról szóló korábbi cikkünkben megosztottuk önnel a letiltás módszerét. A SELinux lehetővé teszi, hogy korlátozza a folyamatok végrehajtásával kapcsolatos jogokat, és mérsékelje az alkalmazásokban és rendszerekben lévő sebezhetőségek kihasználásából eredő károkat. Emiatt, hacsak nincs jogos célja a letiltására, javasolt a SELinuxot kényszerítő üzemmódban tartani. Ma azonban szeretnénk megosztani önökkel a SELinux állapotának ellenőrzésének módszerét a CentOS 8 rendszeren.

A SELinux állapotának ellenőrzése a CentOS 8 rendszeren

A cikk bevezetőjének elolvasása után talán elgondolkodik azon, hogy miért kell egyáltalán ellenőrizni a SELinux állapotát. Már említettük, hogy a Linux alapú rendszerek biztonsága teljes mértékben a SELinuxon múlik. Ez azt jelenti, hogy mindig meg kell győződnie arról, hogy a SELinux engedélyezve van és fut a rendszerén, kivéve, ha olyan helyzetbe kerül, amikor kifejezetten le kell tiltania.

Mivel ez egy olyan mechanizmus, amely a háttérben fut, ezért a felhasználók nem tudnak az állapotáról. Külön le kell kérdezniük az állapotát ahhoz, hogy megtudják, hogy a SELinux engedélyezve vagy letiltva van-e. Ha engedélyezve van, akkor milyen üzemmódban működik? “Enforcing” vagy “Permissive”? Ebben a helyzetben megfelelő módszerekre van szükségünk, amelyekkel lekérdezhetjük a SELinux állapotát.

A SELinux állapotának ellenőrzésére szolgáló különböző módszerek megismeréséhez a CentOS 8 rendszeren át kell néznie a cikk következő részét.

Módszerek a SELinux állapotának ellenőrzésére a CentOS 8 rendszeren

A SELinux állapotának ellenőrzésére a CentOS 8 rendszeren az alábbi három módszer bármelyikét használhatjuk.

1. módszer: A “sestatus” parancs használata

Ez a legegyszerűbb és legkönnyebb módszer a SELinux állapotának megismerésére, mivel csak egy egysoros parancsot tartalmaz. A “sestatus” parancs használatához a SELinux állapotának ellenőrzésére a CentOS 8 rendszeren a következő módon kell futtatni ezt a parancsot a terminálban:

$ sestatus

A parancs futtatása a SELinux állapotán kívül számos más információt is megjelenít a CentOS 8 rendszeren. Esetünkben a SELinux engedélyezve volt, ezért az állapota az alábbi képen kiemelt “enabled” értékre van állítva:

A SELinux kikapcsolásához a CentOS 8 rendszeren módosítani kell a konfigurációs fájlt. Ehhez először el kell érnie a konfigurációs fájlt egy tetszőleges szövegszerkesztővel. A SELinux konfigurációs fájlban a CentOS 8 rendszeren a terminálon a mellékelt parancs futtatásával navigálhat:

$ sudo nano /etc/selinux/config

A fenti parancs sikeres végrehajtása után a SELinux konfigurációs fájl a nano szerkesztőprogramban, azaz az alapértelmezett szerkesztőben nyílik meg. A ‘SELinux’ nevű változóra kell navigálnia, és a szövegét ‘enabled’-ről ‘disabled’-re kell változtatnia. Ezt követően el kell mentenie és be kell zárnia a konfigurációs fájlt. Javasoljuk azonban, hogy a SELinux állapota továbbra is engedélyezve maradjon.

2. módszer: A “getenforce” parancs használata

Ez egy másik egyszerű módszer a SELinux állapotának megállapítására, mivel ez is egy egysoros parancsot tartalmaz. Ha csak arra vagyunk kíváncsiak, hogy a SELinux milyen üzemmódban működik, miközben engedélyezve van a CentOS 8 rendszeren, akkor a “getenforce” parancsot használhatjuk a következő módon:

$ getenforce

A parancs futtatása nem jelenít meg semmilyen más információt, inkább csak azt mutatja meg, hogy a SELinux jelenleg az “enforcing” üzemmódban működik, amint azt az alábbi képen kiemeltük:

3. módszer: Az “/etc/selinux/config” fájl használata

Ha nem elégszik meg azzal, hogy egy egyszerű parancs futtatásával csak a SELinux állapotát látja a terminálon, akkor a CentOS 8-ban az /etc/selinux/config fájlt is megnézheti. A SELinux beállításaira és állapotára vonatkozó összes információ az /etc/selinux/config fájlban található. Ezért, ha látni szeretné a SELinux állapotát a CentOS 8 rendszerben, az alábbi “cat” parancs futtatásával is választhatja ennek a fájlnak a tartalmának megjelenítését:

$ cat /etc/selinux/config

Mihelyt ezt a parancsot futtatja, a SELinux konfigurációs fájlja, az /etc/selinux/config megjelenik a terminálon, amelyből könnyen kiderítheti a SELinux állapotát a CentOS 8 rendszeren, amint azt az alábbi képen kiemeltük:

Következtetés

A SELinux egy olyan Linux segédprogram, amely a Linux kernelben kínál megoldási lehetőséget a hozzáférés-ellenőrzési biztonsági irányelvek segítésére. A cikkben tárgyalt három módszer bármelyikének használatával könnyen megtudhatja a SELinux állapotát a CentOS 8 rendszeren. Mindhárom itt megosztott módszer egyformán hatékony, és a felhasználó választhat, hogy melyik módszer tetszik neki jobban. A SELinux állapotának ismeretében akkor is engedélyezheti azt, ha a múltban véletlenül vagy szándékosan letiltották. Ha követi ezt a bemutatót, most már képes ellenőrizni a SELinux állapotát a CentOS 8-on.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.