Grunnleggende Selinux -kommandoer

Det er visse kommandoer som er verdt å nevne som kan hjelpe deg å samhandle med Selinux. I denne artikkelen vil vi dekke noen av de mest grunnleggende Selinux -kommandoene.

Merk: Alle kommandoene som er angitt nedenfor er utført i CentOS 8. Imidlertid, hvis du vil bruke annen distribusjon av Linux, kan du også gjøre det veldig praktisk.

Grunnleggende Selinux -kommandoer

Det er noen grunnleggende kommandoer som veldig ofte brukes med Selinux. I de følgende seksjoner vil vi først oppgi hver kommando, så vil vi gi eksempler for å vise deg hvordan du bruker hver kommando.

Sjekk Selinux -status

Etter å ha lansert terminalen i Centos 8, antar vi at vi vil undersøke statusen til Selinux, jeg.e., Vi vil gjerne avgjøre om Selinux er aktivert i CentOS 8. Vi kan se statusen til Selinux i Centos 8 ved å utføre følgende kommando i terminalen:

$ sestatus

Å kjøre denne kommandoen vil fortelle oss om Selinux er aktivert i CentOS 8. Selinux er aktivert i vårt system, og du kan se denne statusen fremhevet på bildet nedenfor:

Endrer Selinux -status

Selinux er alltid aktivert som standard i Linux-baserte systemer. Imidlertid, hvis du har lyst til å slå av Selinux av eller deaktivere det, kan du gjøre dette ved å finpusse Selinux -konfigurasjonsfilen på følgende måte:

$ sudo nano/etc/selinux/config

Når denne kommandoen blir utført, åpnes Selinux -konfigurasjonsfilen med Nano -redigereren, som vist på bildet nedenfor:

Nå må du finne ut Selinux -variabelen i denne filen og endre verdien fra "håndheving" til "deaktivert".

Når du sjekker statusen til Selinux igjen ved å kjøre "Sestatus" -kommandoen ovenfor, vil statusen i konfigurasjonsfilen endres til "deaktivert", mens gjeldende status fremdeles vil bli "aktivert", som fremhevet i følgende bilde:

For å sette endringene dine i full effekt, må du derfor starte CentOS 8 -systemet på nytt ved å kjøre følgende kommando:

$ sudo shutdown -r nå

Etter å ha startet på nytt systemet ditt, når du sjekker statusen til Selinux igjen, vil Selinux bli deaktivert.

Kontrollere Selinux -driftsmodus

Selinux er aktivert som standard og fungerer i "håndheving" -modus, som er standardmodus. Du kan bestemme dette ved å kjøre “Sestatus” -kommandoen eller ved å åpne Selinux -konfigurasjonsfilen. Dette kan også verifiseres ved å kjøre kommandoen nedenfor:

$ getenforce

Etter å ha utført kommandoen ovenfor, vil du se at Selinux opererer i "håndheving" -modus:

Endre Selinux -driftsmåte

Du kan alltid endre standard driftsmodus for Selinux fra "håndheving" til "tillatt.”For å gjøre dette, må du bruke kommandoen“ setenforce ”på følgende måte:

$ sudo setenforce 0

Når den brukes med “setenforce” -kommandoen, endrer “0” -flagget modus for Selinux fra “håndheving” til “tillatt."Du kan bekrefte om standardmodus er endret ved å kjøre" getenforce "-kommandoen igjen, og du vil se at Selinux -modus er satt til" tillatt ", som fremhevet i bildet nedenfor:

Viser Selinux policy -moduler

Du kan også se Selinux policy -moduler som for tiden kjører på CentOS 8 -systemet. Policy -modulene til Selinux kan sees ved å kjøre følgende kommando i terminalen:

$ sudo semodule -l

Å utføre denne kommandoen vil vise alle som kjører Selinux -policy -moduler i terminalen, som vist på bildet nedenfor. For å få tilgang til hele listen, kan du bla opp eller ned.

Genererer Selinux Audit Log Report

Når som helst kan du generere en rapport fra Selinux -revisjonsloggene dine. Denne rapporten vil inneholde all informasjon om potensiell hendelse som er blokkert av Selinux og også hvordan du kan tillate den blokkerte hendelsen (e) om nødvendig. Denne rapporten kan genereres ved å kjøre følgende kommando i terminalen:

$ sudo sealert -a/var/log/revisjon/revisjon.Logg

I vårt tilfelle, siden det ikke var noen mistenkelig aktivitet som fant sted, var det grunnen til at rapporten vår var veldig presis og ikke genererte noen varsler, som vist på bildet nedenfor:

Visning og skiftende Selinux Boolean

Det er visse variabler av Selinux hvis verdi enten kan være "på" eller "av.”Slike variabler er kjent som Selinux Boolean. For å se alle Selinux -boolske variabler, bruk kommandoen “GetSebool” på følgende måte:

$ sudo getsebool -a

Å utføre denne kommandoen vil vise en lang liste over alle variablene til Selinux, hvis verdi enten kan være "på" eller "av", som vist på bildet nedenfor:

Det beste med Selinux Boolean er at selv etter å ha endret verdiene til disse variablene, trenger du ikke starte Selinux -mekanismen på nytt; Snarere trer disse endringene i kraft umiddelbart og automatisk.

Nå vil vi vise deg metoden for å endre verdien av en hvilken som helst Selinux boolsk variabel. Vi har allerede valgt en variabel, som fremhevet i bildet vist ovenfor, hvis verdi for øyeblikket er "av.”Vi kan veksle denne verdien til“ ON ”ved å kjøre følgende kommando i vår terminal:

$ sudo setsebool -p xen_use_nfs on

Her kan du erstatte Xen_USE_NFS med alle Selinux Boolean etter eget valg hvis verdi du ønsker å endre.

Etter å ha kjørt kommandoen ovenfor, når du kjører “GetSebool” -kommandoen igjen for å se alle Selinux -boolske variablene, vil du kunne se at verdien av Xen_USE_NFS er satt til “ON”, som fremhevet i bildet nedenfor:

Konklusjon

I denne artikkelen diskuterte vi alle de grunnleggende Selinux -kommandoene i Centos 8. Disse kommandoene brukes ganske ofte mens du samhandler med denne sikkerhetsmekanismen til selinux. Derfor anses disse kommandoene som ekstremt nyttige.