Com activar o desactivar els valors booleans de SELinux

Security-Enhanced Linux (SELinux) és un mecanisme de seguretat per al control d'accés obligatori (MAC) implementat al nucli de Linux. Es tracta d'una operació flexible dissenyada per augmentar la seguretat global del sistema: permet controls d'accés imposats mitjançant una política carregada al sistema que no pot ser modificada per usuaris normals o programes que es comporten malament.

L'article següent explica clarament sobre SELinux i com implementar-lo al vostre sistema Linux.

  1. Implementació del control d'accés obligatori amb SELinux o AppArmor a Linux

En aquest article, us mostrarem com activar o desactivar els valors booleans de SELinux a les distribucions CentOS, RHEL i Fedora Linux.

Per veure tots els booleans de SELinux, utilitzeu l'ordre getsebool juntament amb l'ordre menys.

Nota: SELinux ha d'estar en estat habilitat per llistar tots els booleans.

# getsebool -a | less

Per veure tots els valors booleans d'un programa (o dimoni) específic, utilitzeu la utilitat grep, l'ordre següent us mostra tots els booleans httpd.

# getsebool -a | grep httpd

Per activar (1) o desactivar els booleans de SELinux (0), podeu utilitzar el programa setsebool tal com es descriu a continuació.

Activa o desactiva els valors booleans de SELinux

Si teniu un servidor web instal·lat al vostre sistema, podeu permetre que els scripts HTTPD escriguin fitxers als directoris etiquetats com public_content_rw_t activant el booleà allow_httpd_sys_script_anon_write.

# getsebool allow_httpd_sys_script_anon_write 
# setsebool allow_httpd_sys_script_anon_write on
OR
# setsebool allow_httpd_sys_script_anon_write 1

De la mateixa manera, per desactivar o desactivar el valor booleà de SELinux, executeu l'ordre següent.

# setsebool allow_httpd_sys_script_anon_write off
# setsebool allow_mount_anyfile off
OR
# setsebool allow_httpd_sys_script_anon_write  0
# setsebool allow_mount_anyfile  0

Podeu trobar el significat de tots els booleans de SELinux a https://wiki.centos.org/TipsAndTricks/SelinuxBooleans

No oblideu llegir aquests següents articles relacionats amb la seguretat.

  1. Com desactivar SELinux temporalment o permanentment a RHEL/CentOS
  2. Elements bàsics de control d'accés obligatori amb SELinux
  3. La megaguia per endurir i assegurar CentOS 7

En aquest article, hem explicat com habilitar o desactivar els valors booleans de SELinux a les distribucions CentOS, RHEL i Fedora. Si teniu cap pregunta, feu-ho a través del comentari que apareix a continuació.