Как установить SELinux в разрешающий режим

SELinux или Linux с повышенной безопасностью, т. е. механизм безопасности систем на базе Linux по умолчанию работает на основе обязательного контроля доступа (MAC). Для реализации этой модели управления доступом SELinux использует политику безопасности, в которой явно указаны все правила, касающиеся управления доступом. На основе этих правил SELinux принимает решения относительно предоставления или запрета доступа к любому объекту пользователю.

В сегодняшней статье мы хотели бы поделиться с вами методами установки SELinux в «Permissive» режим после ознакомления с его важными деталями.

Что такое режим Permissive в SELinux?

«Permissive» режим также является одним из трех режимов, в которых работает SELinux, т. е. «Enforcing», «Permissive» и «Disabled». Это три конкретные категории режимов SELinux, тогда как в целом мы можем сказать, что в любом конкретном случае SELinux будет либо «включен», либо «отключен». Оба режима «Enforcing» и «Permissive» подпадают под категорию «Включено». Другими словами, это означает, что всякий раз, когда SELinux включен, он будет работать либо в принудительном, либо в разрешающем режиме.

Вот почему большинство пользователей путаются между режимами «Enforcing» и «Permissive», потому что, в конце концов, оба они подпадают под категорию «Включено». Мы хотели бы провести четкое различие между ними, сначала определив их цели, а затем сопоставив их с примером. «Enforcing» режим работает путем реализации всех правил, изложенных в политике безопасности SELinux. Он блокирует доступ всех пользователей, которым запрещен доступ к определенному объекту в политике безопасности. Более того, это действие также регистрируется в файле журнала SELinux.

С другой стороны, «Permissive» режим не блокирует нежелательный доступ, а просто записывает все такие действия в файл журнала. Поэтому этот режим в основном используется для отслеживания ошибок, аудита и добавления новых правил политики безопасности. Теперь рассмотрим пример пользователя «A», который хочет получить доступ к каталогу с именем «ABC». В политике безопасности SELinux упоминается, что пользователю «A» всегда будет отказано в доступе к каталогу «ABC».

Теперь, если ваш SELinux включен и работает в режиме «Enforcing», то всякий раз, когда пользователь «A» будет пытаться получить доступ к каталогу «ABC», в доступе будет отказано, и это событие будет записано в файл журнала. С другой стороны, если ваш SELinux работает в «Permissive» режиме, то пользователю «A» будет разрешен доступ к каталогу «ABC», но все же это событие будет записано в файл журнала, чтобы администратор может знать, где произошло нарушение безопасности.

Способы установки SELinux в Permissive режим в CentOS 8

Теперь, когда мы полностью поняли назначение «Permissive» режима SELinux, мы можем легко поговорить о методах установки режима «Permissive» SELinux в CentOS 8. Однако, прежде чем переходить к этим методам, всегда полезно проверьте состояние SELinux по умолчанию, выполнив следующую команду в своем терминале:

$ sestatus

Метод временной установки SELinux в Permissive режим в CentOS 8

Временная установка SELinux в режим «Permissive» означает, что этот режим будет включен только для текущего сеанса, и, как только вы перезапустите свою систему, SELinux вернется в свой режим работы по умолчанию, то есть в режим «Enforcing». Для временной установки SELinux в режим «Permissive» вам необходимо выполнить следующую команду на вашем терминале CentOS 8:

Устанавливая значение флага «setenforce» на «0», мы по существу меняем его значение на «Permissive» с «Enforcing». Выполнение этой команды не приведет к отображению каких-либо выходных данных.

Теперь, чтобы проверить, установлен ли SELinux в режим «Permissive» в CentOS 8 или нет, мы запустим следующую команду в терминале:

$ getenforce

Выполнение этой команды вернет текущий режим SELinux, и это будет «Permissive», как показано на изображении, показанном ниже. Однако, как только вы перезагрузите свою систему, SELinux вернется в режим принудительного выполнения.

Метод постоянной установки SELinux в Permissive режим в CentOS 8

В методе №1 мы уже указали, что следование описанному выше методу только временно установит SELinux в режим «Permissive». Однако, если вы хотите, чтобы эти изменения присутствовали даже после перезапуска системы, вам потребуется получить доступ к файлу конфигурации SELinux следующим образом:

$ sudo nano /etc/selinux/config

Теперь вам нужно установить значение переменной «SELinux» на «permissive», как показано на следующем изображении, после чего вы можете сохранить и закрыть свой файл.

Теперь вам нужно еще раз проверить статус SELinux, чтобы узнать, был ли его режим изменен на «Permissive» или нет. Вы можете сделать это, выполнив следующую команду в своем терминале:

$ sestatus

Вы можете видеть из выделенной части изображения, показанного ниже, что прямо сейчас только режим из файла конфигурации изменен на «Permissive», тогда как текущий режим все еще «Enforcing».

Теперь, чтобы наши изменения вступили в силу, мы перезапустим нашу систему CentOS 8, выполнив следующую команду в терминале:

$ sudo shutdown –r now

После перезапуска системы, когда вы снова проверите состояние SELinux с помощью команды «sestatus», вы заметите, что текущий режим также был установлен на «Permissive».

Вывод:

В этой статье мы узнали разницу между «Enforcing» и «Permissive» режимами SELinux. Затем мы поделились с вами двумя способами установки SELinux в режим «Permissive» в CentOS 8. Первый метод предназначен для временного изменения режима, а второй — для постоянного изменения режима на «Permissive». Вы можете использовать любой из двух методов в соответствии с вашими требованиями.

(2 оценок, среднее: 5,00 из 5)

Загрузка...