Com activar o desactivar els valors booleans de SELinux
Security-Enhanced Linux (SELinux) és un mecanisme de seguretat per al control d'accés obligatori (MAC) implementat al nucli de Linux. Es tracta d'una operació flexible dissenyada per augmentar la seguretat global del sistema: permet controls d'accés imposats mitjançant una política carregada al sistema que no pot ser modificada per usuaris normals o programes que es comporten malament.
L'article següent explica clarament sobre SELinux i com implementar-lo al vostre sistema Linux.
- Implementació del control d'accés obligatori amb SELinux o AppArmor a Linux
En aquest article, us mostrarem com activar o desactivar els valors booleans de SELinux a les distribucions CentOS, RHEL i Fedora Linux.
Per veure tots els booleans de SELinux, utilitzeu l'ordre getsebool juntament amb l'ordre menys.
Nota: SELinux ha d'estar en estat habilitat per llistar tots els booleans.
# getsebool -a | less
Per veure tots els valors booleans d'un programa (o dimoni) específic, utilitzeu la utilitat grep, l'ordre següent us mostra tots els booleans httpd.
# getsebool -a | grep httpd
Per activar (1)
o desactivar els booleans de SELinux (0)
, podeu utilitzar el programa setsebool tal com es descriu a continuació.
Activa o desactiva els valors booleans de SELinux
Si teniu un servidor web instal·lat al vostre sistema, podeu permetre que els scripts HTTPD escriguin fitxers als directoris etiquetats com public_content_rw_t
activant el booleà allow_httpd_sys_script_anon_write
.
# getsebool allow_httpd_sys_script_anon_write # setsebool allow_httpd_sys_script_anon_write on OR # setsebool allow_httpd_sys_script_anon_write 1
De la mateixa manera, per desactivar o desactivar el valor booleà de SELinux, executeu l'ordre següent.
# setsebool allow_httpd_sys_script_anon_write off # setsebool allow_mount_anyfile off OR # setsebool allow_httpd_sys_script_anon_write 0 # setsebool allow_mount_anyfile 0
Podeu trobar el significat de tots els booleans de SELinux a https://wiki.centos.org/TipsAndTricks/SelinuxBooleans
No oblideu llegir aquests següents articles relacionats amb la seguretat.
- Com desactivar SELinux temporalment o permanentment a RHEL/CentOS
- Elements bàsics de control d'accés obligatori amb SELinux
- La megaguia per endurir i assegurar CentOS 7
En aquest article, hem explicat com habilitar o desactivar els valors booleans de SELinux a les distribucions CentOS, RHEL i Fedora. Si teniu cap pregunta, feu-ho a través del comentari que apareix a continuació.