Phenquestions
Obs! Alla kommandon som anges nedan har utförts i CentOS 8. Men om du vill använda någon annan distribution av Linux kan du också göra det mycket bekvämt.
Grundläggande SELinux-kommandon
Det finns några grundläggande kommandon som används mycket ofta med SELinux. I följande avsnitt kommer vi först att ange varje kommando, sedan kommer vi att ge exempel som visar hur du använder varje kommando.
Kontrollerar SELinux-status
Efter att ha startat terminalen i CentOS 8, antar att vi skulle vilja undersöka statusen för SELinux, dvs.e., vi vill avgöra om SELinux är aktiverat i CentOS 8. Vi kan se statusen för SELinux i CentOS 8 genom att utföra följande kommando i terminalen:
$ sestatus
Att köra det här kommandot kommer att berätta om SELinux är aktiverat i CentOS 8. SELinux är aktiverat i vårt system, och du kan se denna status markerad i bilden nedan:
Ändrar SELinux-status
SELinux är alltid aktiverat som standard i Linux-baserade system. Men om du känner för att stänga av eller inaktivera SELinux kan du göra detta genom att justera SELinux-konfigurationsfilen på följande sätt:
$ sudo nano / etc / selinux / config
När detta kommando körs öppnas SELinux-konfigurationsfilen med nano-redigeraren, som visas i bilden nedan:
Nu måste du ta reda på SELinux-variabeln i den här filen och ändra dess värde från "Enforcing" till "Disabled". Tryck därefter på Ctrl + X för att spara din SELinux-konfigurationsfil och gå tillbaka till terminalen.
När du kontrollerar statusen för SELinux igen genom att köra kommandot "sestatus" ovan, ändras statusen i konfigurationsfilen till "Inaktiverad", medan den aktuella statusen fortfarande är "Enabled", som markeras i följande bild:
För att dina ändringar ska kunna genomföras fullt ut måste du starta om ditt CentOS 8-system genom att köra följande kommando:
$ sudo shutdown -r nu
När du har startat om ditt system, kommer du att inaktivera SELinux när du kontrollerar statusen för SELinux igen.
Kontrollerar SELinux driftläge
SELinux är aktiverat som standard och fungerar i “Enforcing” -läget, vilket är standardläget. Du kan bestämma detta genom att köra kommandot “sestatus” eller genom att öppna SELinux-konfigurationsfilen. Detta kan också verifieras genom att köra kommandot nedan:
$ getenforce
Efter att ha utfört ovanstående kommando ser du att SELinux fungerar i “Enforcing” -läget:
Ändrar SELinux driftsätt
Du kan alltid ändra SELinuxs standardläge från "Enforcing" till "Permissive".”För att göra detta måste du använda kommandot“ setenforce ”på följande sätt:
$ sudo setenforce 0
När den används med kommandot "setenforce" ändrar "0" -flaggan läget för SELinux från "Enforcing" till "Permissive.”Du kan verifiera om standardläget har ändrats genom att köra“ getenforce ”-kommandot igen, och du kommer att se att SELinux-läget har ställts in på“ Tillåtande ”, som markerat i bilden nedan:
Visa SELinux policymoduler
Du kan också visa SELinux policy-moduler som för närvarande körs på ditt CentOS 8-system. Policymodulerna i SELinux kan visas genom att köra följande kommando i terminalen:
$ sudo semodule -l
Genom att utföra detta kommando visas alla SELinux-policymoduler som körs i din terminal, som visas i bilden nedan. För att komma åt hela listan kan du bläddra uppåt eller nedåt.
Skapar SELinux Audit Log Report
När som helst kan du skapa en rapport från dina SELinux-granskningsloggar. Denna rapport kommer att innehålla all information om eventuella händelser som har blockerats av SELinux och även hur du kan tillåta de blockerade händelserna om det behövs. Denna rapport kan genereras genom att köra följande kommando i terminalen:
$ sudo sealert -a / var / log / audit / audit.logga
I vårt fall, eftersom det inte ägde rum någon misstänkt aktivitet, var det därför som vår rapport var mycket exakt och inte genererade några varningar, som visas i bilden nedan:
Visa och ändra SELinux Boolean
Det finns vissa variabler av SELinux vars värde antingen kan vara "på" eller "av.”Sådana variabler kallas SELinux Boolean. För att se alla SELinux Boolean-variabler, använd kommandot “getebool” på följande sätt:
$ sudo getsebool -a
Genom att utföra detta kommando visas en lång lista med alla variablerna i SELinux vars värde antingen kan vara "på" eller "av", som visas i bilden nedan:
Det bästa med SELinux Boolean är att även efter att du har ändrat värdena för dessa variabler behöver du inte starta om din SELinux-mekanism. snarare träder dessa ändringar i kraft omedelbart och automatiskt.
Nu vill vi visa dig metoden för att ändra värdet på alla SELinux Boolean-variabler. Vi har redan valt en variabel, som markerad i bilden som visas ovan, vars värde för närvarande är “av.”Vi kan växla detta värde till“ på ”genom att köra följande kommando i vår terminal:
$ sudo setsebool -P xen_use_nfs ONHär kan du ersätta xen_use_nfs med valfri SELinux Boolean efter eget val vars värde du vill ändra.
Efter att ha kört ovanstående kommando, när du kör kommandot “getebool” igen för att visa alla SELinux Boolean-variabler, kommer du att kunna se att värdet för xen_use_nfs har ställts in på “on”, som markeras i bilden nedan:
Slutsats
I den här artikeln diskuterade vi alla grundläggande SELinux-kommandon i CentOS 8. Dessa kommandon används ganska ofta när de interagerar med denna säkerhetsmekanism i SELinux. Därför anses dessa kommandon vara extremt hjälpsamma.
