Phenquestions
Piezīme. Visas tālāk norādītās komandas ir izpildītas CentOS 8. Tomēr, ja vēlaties izmantot jebkuru citu Linux izplatīšanu, to varat izdarīt arī ļoti ērti.
Pamata SELinux komandas
Ir dažas pamata komandas, kuras ļoti bieži lieto kopā ar SELinux. Turpmākajās sadaļās vispirms norādīsim katru komandu, pēc tam sniegsim piemērus, kas parādīs, kā izmantot katru komandu.
SELinux statusa pārbaude
Pēc termināla palaišanas CentOS 8 pieņemsim, ka mēs vēlētos pārbaudīt SELinux statusu, t.i.e., mēs vēlētos noteikt, vai SELinux ir iespējots CentOS 8. Mēs varam apskatīt SELinux statusu CentOS 8, izpildot šādu komandu terminālā:
$ sestatus
Palaidot šo komandu, mēs uzzināsim, vai SELinux ir iespējots CentOS 8. SELinux ir iespējots mūsu sistēmā, un jūs varat redzēt šo statusu izceltu zemāk esošajā attēlā:
SELinux statusa maiņa
SELinux pēc noklusējuma vienmēr ir iespējots Linux balstītās sistēmās. Tomēr, ja vēlaties izslēgt vai atspējot SELinux, varat to izdarīt, pielāgojot SELinux konfigurācijas failu šādā veidā:
$ sudo nano / etc / selinux / config
Pēc šīs komandas izpildes tiks atvērts SELinux konfigurācijas fails ar nano redaktoru, kā parādīts zemāk esošajā attēlā:
Tagad jums jānoskaidro SELinux mainīgais šajā failā un jāmaina tā vērtība no “Enforcing” uz “Disabled”. Pēc tam nospiediet Ctrl + X, lai saglabātu SELinux konfigurācijas failu un atgrieztos terminālā.
Atkārtoti pārbaudot SELinux statusu, izpildot iepriekš esošo komandu “sestatus”, konfigurācijas faila statuss tiks mainīts uz “Atspējots”, turpretī pašreizējais statuss joprojām būs “Iespējots”, kā uzsvērts šajā attēlā:
Tāpēc, lai izmaiņas pilnībā ieviestu, jums būs jāpārstartē CentOS 8 sistēma, izpildot šādu komandu:
$ sudo shutdown -r tagad
Pēc sistēmas pārstartēšanas, vēlreiz pārbaudot SELinux statusu, SELinux tiks atspējota.
SELinux darbības režīma pārbaude
SELinux ir iespējots pēc noklusējuma un darbojas režīmā “Enforcing”, kas ir tā noklusējuma režīms. To var noteikt, palaižot komandu “sestatus” vai atverot SELinux konfigurācijas failu. To var arī pārbaudīt, palaižot zemāk esošo komandu:
$ getenforce
Pēc iepriekš minētās komandas izpildes jūs redzēsiet, ka SELinux darbojas režīmā “Izpilde”:
SELinux darbības režīma maiņa
Jūs vienmēr varat mainīt SELinux noklusējuma darbības režīmu no “Enforcing” uz “Permissive.”Lai to izdarītu, jums jāizmanto komanda“ setenforce ”šādā veidā:
$ sudo setenforce 0
Lietojot kopā ar komandu “setenforce”, “0” karogs maina SELinux režīmu no “Enforcing” uz “Permissive”.”Jūs varat pārbaudīt, vai noklusējuma režīms ir mainīts, vēlreiz palaižot komandu“ getenforce ”, un redzēsit, ka SELinux režīms ir iestatīts uz“ Atļauts ”, kā norādīts zemāk esošajā attēlā:
SELinux politikas moduļu apskate
Varat arī apskatīt SELinux politikas moduļus, kas pašlaik darbojas jūsu CentOS 8 sistēmā. SELinux politikas moduļus var apskatīt, terminālā izpildot šādu komandu:
$ sudo semodule -l
Izpildot šo komandu, jūsu terminālā tiks parādīti visi pašlaik darbojošie SELinux politikas moduļi, kā parādīts zemāk esošajā attēlā. Lai piekļūtu visam sarakstam, varat ritināt uz augšu vai uz leju.
SELinux audita žurnāla ziņojuma ģenerēšana
Jebkurā laika posmā jūs varat izveidot pārskatu no saviem SELinux audita žurnāliem. Šajā pārskatā būs visa informācija par visiem iespējamiem notikumiem, kurus bloķējis SELinux, kā arī par to, kā vajadzības gadījumā atļaut atļaut bloķētos notikumus. Šo ziņojumu var izveidot, izpildot šādu komandu terminālā:
$ sudo sealert -a / var / log / audit / audit.žurnāls
Mūsu gadījumā, tā kā nenotika aizdomīgas darbības, tāpēc mūsu ziņojums bija ļoti precīzs un neradīja brīdinājumus, kā parādīts zemāk esošajā attēlā:
SELinux Būla skata un mainīšana
Ir noteikti SELinux mainīgie, kuru vērtība var būt vai nu “ieslēgta” vai “izslēgta”.Šādi mainīgie ir pazīstami kā SELinux Boolean. Lai skatītu visus SELinux Būla mainīgos, izmantojiet komandu getsebool šādā veidā:
$ sudo getsebool -a
Izpildot šo komandu, tiks parādīts garš saraksts ar visiem SELinux mainīgajiem lielumiem, kuru vērtība var būt “ieslēgta” vai “izslēgta”, kā parādīts zemāk esošajā attēlā:
Vislabāk par SELinux Boolean ir tas, ka pat pēc mainīgo vērtību mainīšanas jums nav jārestartē SELinux mehānisms; drīzāk šīs izmaiņas stājas spēkā nekavējoties un automātiski.
Tagad mēs vēlētos jums parādīt metodi, kā mainīt jebkura SELinux Būla mainīgā vērtību. Mēs jau esam izvēlējušies mainīgo, kā uzsvērts iepriekš redzamajā attēlā, kura vērtība pašlaik ir “izslēgta."Mēs varam pārslēgt šo vērtību uz" ieslēgtu ", izpildot šādu komandu mūsu terminālā:
$ sudo setsebool -P xen_use_nfs ONŠeit jūs varat aizstāt xen_use_nfs ar jebkuru jūsu izvēlēto SELinux Boolean, kura vērtību vēlaties mainīt.
Pēc iepriekš minētās komandas palaišanas, vēlreiz palaižot komandu “getsebool”, lai skatītu visus SELinux Būla mainīgos, jūs varēsiet redzēt, ka xen_use_nfs vērtība ir iestatīta uz “on”, kā norādīts zemāk esošajā attēlā:
Secinājums
Šajā rakstā mēs apspriedām visas SELinux pamata komandas CentOS 8. Šīs komandas tiek izmantotas diezgan bieži, vienlaikus mijiedarbojoties ar šo SELinux drošības mehānismu. Tādēļ šīs komandas tiek uzskatītas par ārkārtīgi noderīgām.
