Phenquestions
Bemærk: Alle nedenstående kommandoer er udført i CentOS 8. Men hvis du vil bruge en anden distribution af Linux, kan du også gøre det meget bekvemt.
Grundlæggende SELinux-kommandoer
Der er nogle grundlæggende kommandoer, der ofte bruges med SELinux. I de følgende sektioner vil vi først angive hver kommando, derefter give vi eksempler for at vise dig, hvordan du bruger hver kommando.
Kontrol af SELinux-status
Efter lanceringen af terminalen i CentOS 8, formoder vi, at vi gerne vil undersøge status for SELinux, dvs.e., Vi vil gerne afgøre, om SELinux er aktiveret i CentOS 8. Vi kan se status for SELinux i CentOS 8 ved at udføre følgende kommando i terminalen:
$ sestatus
At køre denne kommando fortæller os, om SELinux er aktiveret i CentOS 8. SELinux er aktiveret i vores system, og du kan se denne status fremhævet i billedet nedenfor:
Ændring af SELinux-status
SELinux er altid aktiveret som standard i Linux-baserede systemer. Men hvis du har lyst til at slå SELinux fra eller deaktivere det, kan du gøre dette ved at tilpasse SELinux-konfigurationsfilen på følgende måde:
$ sudo nano / etc / selinux / config
Når denne kommando udføres, åbnes SELinux-konfigurationsfilen med nano-editoren, som vist på billedet nedenfor:
Nu skal du finde ud af SELinux-variablen i denne fil og ændre dens værdi fra "Enforcing" til "Disabled". Derefter skal du trykke på Ctrl + X for at gemme din SELinux-konfigurationsfil og komme tilbage til terminalen.
Når du kontrollerer status for SELinux igen ved at køre kommandoen "sestatus" ovenfor, ændres status i konfigurationsfilen til "Deaktiveret", hvorimod den aktuelle status stadig er "Aktiveret", som fremhævet i følgende billede:
Derfor skal du genstarte dit CentOS 8-system for at sætte dine ændringer i fuld effekt ved at køre følgende kommando:
$ sudo shutdown -r nu
Når du har genstartet dit system, deaktiveres SELinux, når du kontrollerer status for SELinux igen.
Kontrol af SELinux driftstilstand
SELinux er aktiveret som standard og fungerer i “Enforcing” -tilstand, som er dens standardtilstand. Du kan bestemme dette ved at køre kommandoen “sestatus” eller ved at åbne SELinux-konfigurationsfilen. Dette kan også verificeres ved at køre kommandoen nedenfor:
$ getenforce
Efter at have udført ovenstående kommando, vil du se, at SELinux fungerer i “Håndhævelse” -tilstand:
Ændring af SELinux-driftstilstand
Du kan altid ændre SELinux's standardtilstand fra "Enforcing" til "Permissive".”For at gøre dette skal du bruge kommandoen“ setenforce ”på følgende måde:
$ sudo setenforce 0
Når det bruges med kommandoen “setenforce”, ændrer “0” -funktionen tilstanden for SELinux fra “Enforcing” til “Permissive.”Du kan kontrollere, om standardtilstanden er blevet ændret ved at køre kommandoen“ getenforce ”igen, og du vil se, at SELinux-tilstanden er indstillet til“ Tilladelig ”, som fremhævet i nedenstående billede:
Visning af SELinux-politikmoduler
Du kan også se SELinux-politikmoduler, der i øjeblikket kører på dit CentOS 8-system. Politikmodulerne i SELinux kan ses ved at køre følgende kommando i terminalen:
$ sudo semodule -l
Udførelse af denne kommando viser alle aktuelt kørende SELinux-politikmoduler i din terminal, som vist på billedet nedenfor. For at få adgang til hele listen kan du rulle op eller ned.
Genererer SELinux Audit Log Report
På ethvert tidspunkt kan du generere en rapport fra dine SELinux-auditlogfiler. Denne rapport indeholder alle oplysninger om enhver potentiel begivenhed, der er blevet blokeret af SELinux, og også hvordan du kan tillade de blokerede begivenheder, hvis det er nødvendigt. Denne rapport kan genereres ved at køre følgende kommando i terminalen:
$ sudo sealert -a / var / log / audit / audit.log
I vores tilfælde, da der ikke fandt sted nogen mistænkelig aktivitet, var det derfor, at vores rapport var meget præcis og ikke genererede nogen advarsler, som vist i billedet nedenfor:
Visning og ændring af SELinux Boolean
Der er visse variabler i SELinux, hvis værdi enten kan være "til" eller "fra.”Sådanne variabler er kendt som SELinux Boolean. For at se alle SELinux boolske variabler skal du bruge kommandoen “getebool” på følgende måde:
$ sudo getsebool -a
Udførelse af denne kommando viser en lang liste over alle variablerne i SELinux, hvis værdi enten kan være "til" eller "fra", som vist i billedet nedenfor:
Det bedste ved SELinux Boolean er, at selv efter at du har ændret værdierne for disse variabler, behøver du ikke genstarte din SELinux-mekanisme; snarere træder disse ændringer i kraft med det samme og automatisk.
Nu vil vi gerne vise dig metoden til at ændre værdien af enhver SELinux Boolean-variabel. Vi har allerede valgt en variabel, som fremhævet i billedet vist ovenfor, hvis værdi i øjeblikket er “fra.”Vi kan skifte denne værdi til“ on ”ved at køre følgende kommando i vores terminal:
$ sudo setsebool -P xen_use_nfs ONHer kan du erstatte xen_use_nfs med enhver SELinux Boolean efter eget valg, hvis værdi du vil ændre.
Når du har kørt ovenstående kommando, når du kører kommandoen “getebool” igen for at se alle de SELinux Boolske variabler, vil du kunne se, at værdien af xen_use_nfs er indstillet til “til”, som fremhævet i billedet nedenfor:
Konklusion
I denne artikel diskuterede vi alle de grundlæggende SELinux-kommandoer i CentOS 8. Disse kommandoer bruges ganske ofte, mens de interagerer med denne SELinux-sikkerhedsmekanisme. Derfor betragtes disse kommandoer som yderst nyttige.
