GNU/Linux >> Belajar Linux >  >> Cent OS

RHEL 7 – Catatan RHCSA – Mengatur mode penegakan dan permisif untuk SELinux

RHEL 7 – Catatan RHCSA (Lembar Cheat)

Mode SELinux

SELinux memberikan lapisan keamanan ekstra itu ke sumber daya dalam sistem. Ini memberikan MAC (kontrol akses wajib) yang bertentangan dengan DAC (Kontrol akses diskresioner). Sebelum kita masuk ke pengaturan mode SELinux, mari kita lihat apa saja mode operasi SELinux yang berbeda dan bagaimana cara kerjanya. SELinux dapat beroperasi di salah satu dari 3 mode :

1. Diberlakukan :Tindakan yang bertentangan dengan kebijakan diblokir dan peristiwa terkait dicatat dalam log audit.
2. Permisif :Tindakan yang bertentangan dengan kebijakan hanya dicatat dalam log audit.
3. Dinonaktifkan :SELinux dinonaktifkan sepenuhnya.

File konfigurasi

File konfigurasi SELinux /etc/selinux/config :

# cat  /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Beralih mode SELinux (Sementara)

Untuk beralih antar mode SELinux sementara kita dapat menggunakan perintah setenforce seperti gambar di bawah ini :

# setenforce [ Enforcing | Permissive | 1 | 0 ]

0 –> Permisif
1 –> Menegakkan

Verifikasi mode SELinux saat ini :

# getenforce
Enforcing

atau kita juga bisa menggunakan perintah sestatus untuk mendapatkan detail status :

# sestatus
SELinux status:                 enabled         
SELinuxfs mount:                /selinux        --> virtual FS similar to /proc
Current mode:                   enforcing       --> current mode of operation 
Mode from config file:          permissive      --> mode set in the /etc/sysconfig/selinux file.
Policy version:                 24
Policy from config file:        targeted

Beralih mode SELinux (Permanen) [memerlukan boot ulang]

Mode SELinux dapat diatur secara permanen menggunakan salah satu metode di bawah ini :
1. mengedit file /etc/selinux/config
2. mengedit opsi boot kernel

1. mengedit file /etc/selinux/config

untuk mengatur SELinux ke permisif, atur baris di bawah ini dalam file /etc/selinux/config ke :

vi /etc/selinux/config
....
SELINUX=permissive
...

Demikian pula, mode dapat diatur untuk menegakkan/menonaktifkan dengan mengatur mode di baris yang sama.

2. mengedit opsi boot kernel

Edit baris boot kernel dan tambahkan enforcing=0 ke opsi boot kernel. Misalnya:

title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp)
root (hd0,0)
kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0
initrd /initrd-2.6.9-42.ELsmp.img

Nyalakan ulang server.

# shutdown -r now

Memaksa reboot saat mengubah mode

Kita bisa memaksa reboot untuk mengubah mode selinux :

# setsebool secure_mode_policyload on


Cent OS

  1. RHEL 7 – RHCSA Catatan :Konfigurasikan sistem untuk menggunakan layanan waktu

  2. RHEL 7 – RHCSA Catatan :Buat tautan keras dan lunak.

  3. RHEL 7 – Catatan RHCSA – Membuat dan mengelola Daftar Kontrol Akses (ACL)

  1. RHEL 7 – Catatan RHCSA (Lembar Cheat)

  2. Cara menginstal dan mengkonfigurasi "setroubleshootd" di CentOS/RHEL

  3. Cara mengatur children-max untuk Layanan udev di CentOS/RHEL 7

  1. RHEL 7 – Catatan RHCSA – pengalihan input / output

  2. RHEL 7 – Catatan RHCSA :Ubah kata sandi dan sesuaikan penuaan kata sandi untuk akun pengguna lokal

  3. RHEL 7 – RHCSA Catatan :Buat, hapus, dan ubah grup lokal dan keanggotaan grup.