У сьогоднішній статті ми хотіли б поділитися з вами методами встановлення SELinux у режим “Дозвільний” після ознайомлення з важливими деталями.
Що таке дозвільний режим SELinux?
Режим “Дозвільний” також є одним із трьох режимів, в яких працює SELinux, тобто.e., “Застосування”, “Дозвіл” та “Інваліди”. Це три конкретні категорії режимів SELinux, тоді як загалом можна сказати, що в будь-якому конкретному випадку SELinux буде або “Увімкнено”, або “Вимкнено”. Режими "Примусовий" та "Дозвільний" підпадають під категорію "Увімкнено". Іншими словами, це означає, що щоразу, коли ввімкнено SELinux, він буде працювати або в режимі «Застосування», або в режимі «Дозвільний».
Ось чому більшість користувачів плутаються між режимами «Примусовий» та «Дозвільний», адже, врешті-решт, вони обидва потрапляють під категорію «Увімкнено». Ми хотіли б провести чітке розмежування між ними, спершу визначивши їх цілі, а потім відобразивши це на прикладі. Режим “Застосування” працює, реалізуючи всі правила, зазначені в політиці безпеки SELinux. Він блокує доступ усіх користувачів, яким заборонено доступ до певного об'єкта в політиці безпеки. Більше того, ця діяльність також реєструється у файлі журналу SELinux.
З іншого боку, режим “Дозвільний” не блокує небажаний доступ, він просто записує всі такі дії у файл журналу. Тому цей режим в основному використовується для відстеження помилок, аудиту та додавання нових правил політики безпеки. Тепер розглянемо приклад користувача “А”, який бажає отримати доступ до каталогу “ABC”. У політиці безпеки SELinux згадується, що користувачеві “A” завжди буде заборонено доступ до каталогу “ABC”.
Тепер, якщо ваш SELinux увімкнений і працює в режимі «Застосування», тоді кожен раз, коли користувач «A» намагатиметься отримати доступ до каталогу «ABC», доступ буде заборонено, і ця подія буде записана у файл журналу. З іншого боку, якщо ваш SELinux працює в режимі «Дозвільний», то користувачеві «А» буде дозволено отримати доступ до каталогу «ABC», але все ж ця подія буде записана у файл журналу, щоб адміністратор може знати, де сталося порушення безпеки.
Методи встановлення дозвільного режиму SELinux на CentOS 8
Тепер, коли ми повністю зрозуміли мету режиму “Permissive” у SELinux, ми можемо легко говорити про методи встановлення SELinux у “Permissive” режим на CentOS 8. Однак перед тим, як перейти до цих методів, завжди добре перевірити статус SELinux за замовчуванням, виконавши в своєму терміналі таку команду:
$ sestatus
Режим SELinux за замовчуванням виділений на зображенні, показано нижче:
Метод тимчасового встановлення SELinux у дозвільний режим на CentOS 8
Тимчасово встановлюючи SELinux в режим «Дозвільний», ми маємо на увазі, що цей режим буде ввімкнено лише для поточного сеансу, і як тільки ви перезапустите систему, SELinux відновить режим роботи за замовчуванням, тобто.e., режим “Застосування”. Для тимчасового встановлення SELinux в режим «Дозвільний» вам потрібно виконати таку команду на своєму терміналі CentOS 8:
$ sudo setenforce 0
Встановивши значення прапора “setenforce” на “0”, ми по суті змінюємо його значення на “Permissive” з “Enforcing”. Запуск цієї команди не відобразить жодних результатів, як ви можете переглянути з доданого нижче зображення.
Тепер, щоб перевірити, чи встановлено для SELinux режим «Дозвільний» в CentOS 8 чи ні, ми виконаємо в терміналі таку команду:
$ getenforce
Запуск цієї команди поверне поточний режим SELinux, і це буде “Permissive”, як показано на зображенні, показано нижче. Однак, як тільки ви перезапустите систему, SELinux повернеться до режиму “Застосування”.
Метод постійного встановлення SELinux у дозвільний режим на CentOS 8
Ми вже заявили в Методі №1, що дотримання вищезазначеного методу лише тимчасово встановить SELinux у режим “Дозвільний”. Однак, якщо ви хочете, щоб ці зміни були навіть після перезапуску системи, вам потрібно буде отримати доступ до конфігураційного файлу SELinux таким чином:
$ sudo nano / etc / selinux / config
Файл конфігурації SELinux показаний на зображенні нижче:
Тепер вам потрібно встановити значення змінної “SELinux” на “permissive”, як це виділено на наступному зображенні, після чого ви можете зберегти та закрити файл.
Тепер вам потрібно ще раз перевірити статус SELinux, щоб з’ясувати, чи його режим змінено на “Дозвільний” чи ні. Ви можете зробити це, запустивши в своєму терміналі таку команду:
$ sestatus
З виділеної частини зображеного нижче видно, що зараз лише режим із файлу конфігурації змінено на “Дозвільний”, тоді як поточний режим все ще “Застосовується”.
Тепер, щоб зміни вступили в силу, ми перезапустимо нашу систему CentOS 8, виконавши в терміналі таку команду:
$ sudo shutdown -r зараз
Після перезапуску системи, коли ви знову перевірите стан SELinux за допомогою команди “sestatus”, ви помітите, що для поточного режиму також встановлено значення “Permissive”.
Висновок:
У цій статті ми дізналися про різницю між режимами “Застосування” та “Дозвіл” у SELinux. Потім ми поділилися з вами двома методами встановлення SELinux у режим “Дозвільний” в CentOS 8. Перший спосіб призначений для тимчасової зміни режиму, тоді як другий спосіб - для постійної зміни режиму на «Дозвільний». Ви можете використовувати будь-який із двох методів відповідно до ваших вимог.