Comandos básicos do Selinux

Existem certos comandos que vale a pena mencionar que podem ajudá -lo a interagir facilmente com o Selinux. Neste artigo, abordaremos alguns dos comandos mais fundamentais do Selinux.

Nota: Todos os comandos declarados abaixo foram executados no CentOS 8. No entanto, se você quiser usar qualquer outra distribuição do Linux, também pode fazê -lo de maneira muito conveniente.

Comandos básicos do Selinux

Existem alguns comandos básicos que são usados ​​com muita frequência com Selinux. Nas seções a seguir, primeiro declararemos cada comando, depois forneceremos exemplos para mostrar como usar cada comando.

Verificando o status do Selinux

Depois de lançar o terminal no CentOS 8, suponha que gostaríamos de examinar o status de Selinux, eu.e., Gostaríamos de determinar se o Selinux está ativado no CentOS 8. Podemos ver o status de Selinux no CentOS 8 executando o seguinte comando no terminal:

$ sestatus

Executar este comando nos dirá se o Selinux está ativado no CentOS 8. O Selinux está ativado em nosso sistema e você pode ver esse status destacado na imagem abaixo:

Alterando o status do Selinux

O Selinux é sempre ativado por padrão em sistemas baseados em Linux. No entanto, se você quiser desligar o Selinux ou desativá -lo, poderá fazer isso ajustando o arquivo de configuração do Selinux da seguinte maneira:

$ sudo nano/etc/Selinux/config

Quando este comando é executado, o arquivo de configuração do Selinux será aberto com o editor Nano, conforme mostrado na imagem abaixo:

Agora, você precisa descobrir a variável Selinux neste arquivo e alterar seu valor de “aplicação” para “desativado”, depois disso, pressione Ctrl+ X para salvar seu arquivo de configuração do Selinux e voltar ao terminal.

Quando você verifica o status do Selinux novamente executando o comando "sestatus" acima, o status no arquivo de configuração será alterado para "desativado", enquanto o status atual ainda será "ativado", conforme destacado na imagem a seguir:

Portanto, para colocar suas alterações em efeito total, você precisará reiniciar seu sistema CentOS 8 executando o seguinte comando:

$ sudo desligamento -R agora

Depois de reiniciar seu sistema, quando você verificar o status de Selinux novamente, o Selinux será desativado.

Verificando o modo de operação Selinux

O Selinux é ativado por padrão e funciona no modo de “aplicação”, que é o seu modo padrão. Você pode determinar isso executando o comando "sestatus" ou abrindo o arquivo de configuração do Selinux. Isso também pode ser verificado executando o comando abaixo:

$ getenforce

Depois de executar o comando acima, você verá que a Selinux está operando no modo de “aplicação”:

Alterando o modo de operação do Selinux

Você sempre pode alterar o modo padrão de operação de Selinux de "aplicar" para "permissivo.”Para fazer isso, você precisa usar o comando" setEnforce "da seguinte maneira:

$ sudo setenforce 0

Quando usado com o comando "setEnforce", a bandeira "0" muda o modo de Selinux de "aplicação" para "Permissivo."Você pode verificar se o modo padrão foi alterado executando o comando" getenforce "novamente, e verá que o modo Selinux foi definido como" permissivo ", conforme destacado na imagem abaixo:

Visualizando módulos de política do Selinux

Você também pode visualizar módulos de política do Selinux que estão em execução atualmente em seu sistema CentOS 8. Os módulos políticos do Selinux podem ser vistos executando o seguinte comando no terminal:

$ sudo semodule -l

A execução deste comando exibirá todos os módulos de política do Selinux atualmente executando em seu terminal, como mostrado na imagem abaixo. Para acessar a lista inteira, você pode rolar para cima ou para baixo.

Gerando o relatório de log de auditoria do Selinux

A qualquer momento, você pode gerar um relatório a partir de seus registros de auditoria do Selinux. Este relatório conterá todas as informações sobre qualquer evento em potencial que tenha sido bloqueado pelo Selinux e também como você pode permitir o (s) evento (s) bloqueado (s), se necessário. Este relatório pode ser gerado executando o seguinte comando no terminal:

$ sudo selanert -a/var/log/auditoria/auditoria.registro

No nosso caso, como não houve atividade suspeita, é por isso que nosso relatório foi muito preciso e não gerou alertas, como mostrado na imagem abaixo:

Visualizando e mudando o Selinux boolean

Existem certas variáveis ​​de Selinux cujo valor pode estar "ligado" ou "fora.”Tais variáveis ​​são conhecidas como Selinux boolean. Para ver todas as variáveis ​​booleanas do Selinux, use o comando "getSebool" da seguinte maneira:

$ sudo getsebool -a

A execução deste comando exibirá uma longa lista de todas as variáveis ​​de Selinux, cujo valor pode estar "ligado" ou "off", como mostrado na imagem abaixo:

A melhor coisa sobre o Selinux Boolean é que, mesmo depois de alterar os valores dessas variáveis, você não precisa reiniciar seu mecanismo de Selinux; Em vez disso, essas mudanças entram em vigor imediatamente e automaticamente.

Agora, gostaríamos de mostrar o método de alterar o valor de qualquer variável booleana do Selinux. Já selecionamos uma variável, conforme destacado na imagem mostrada acima, cujo valor está atualmente “OFF.“Podemos alternar esse valor para“ ON ”executando o seguinte comando em nosso terminal:

$ sudo setsebool -p xen_use_nfs

Aqui, você pode substituir o xen_use_nfs por qualquer Selinux boolean de sua escolha cujo valor você deseja mudar.

Depois de executar o comando acima, quando você executa o comando "getSebool" novamente para visualizar todas as variáveis ​​booleanas do Selinux, poderá ver que o valor de xen_use_nfs foi definido como "on", conforme destacado na imagem abaixo:

Conclusão

Neste artigo, discutimos todos os comandos básicos do Selinux no CentOS 8. Esses comandos são usados ​​com bastante frequência enquanto interagem com este mecanismo de segurança do Selinux. Portanto, esses comandos são considerados extremamente úteis.