rockfanatics.ruMobil

Buyruqlar satrida Selinux xizmati. SELinux-ni sozlash, yoqish, o'chirish

SELinux (Security-Enhanced Linux - yaxshilangan xavfsizlik bilan Linux) klassik ixtiyoriy kirishni boshqarish tizimi bilan parallel ravishda ishlashi mumkin bo'lgan majburiy kirishni boshqarish tizimini amalga oshirishdir. Standart Linux yadrosiga kiritilgan. Bundan tashqari, SELinux ishlashi uchun yadroning yangi funksiyalarini qo'llab-quvvatlash va fayl tizimi tomonidan qo'llab-quvvatlashni ta'minlaydigan ba'zi yordamchi dasturlarning (ps, ls va boshqalar) o'zgartirilgan versiyalari talab qilinadi.

1-usul: SELinux-ni vaqtincha o'chirib qo'ying

SELinux-ni vaqtincha o'chirish uchun siz /selinux/enforce faylini o'zgartirishingiz mumkin. Shuni esda tutingki, bu vaqtinchalik o'chirish va tizim qayta ishga tushirilgach, SELinux yana ishlaydi.

# cat /selinux/enforce 1 # echo 0 > /selinux/enforce# cat /selinux/enforce 0 Quyidagi misolda ko'rsatilganidek, setenforce buyrug'idan ham foydalanishingiz mumkin. Setenforce buyrug'ining mumkin bo'lgan variantlari quyidagilardir: Majburlash, Ruxsat berish, 1 (yoqish) yoki 0 (o'chirish).
# setenforce 0

2-usul: SELinux-ni butunlay o'chirib qo'ying

SELinux-ni butunlay o'chirib qo'yish uchun /etc/selinux/config faylini tahrirlang va quyida ko'rsatilganidek SELINUX=o'chirib qo'ying. Shundan so'ng, serverni qayta ishga tushiring.

# cat /etc/selinux/config SELINUX=o‘chirilgan SELINUXTYPE=maqsadli SETLOCALDEFS=0

3-usul: Grub Bootloader-da SELinux-ni o'chirish

Uchinchi usul SELinux-ni o'chirish uchun GRUB yuklash moslamasidan foydalanadi. Qator oxiriga qo'shing selinux=0

# cat /boot/grub/grub.conf default=0 timeout=5 splashimage=(hd0,0)/boot/grub/splash.xpm.gz hiddenmenu title Enterprise Linux Enterprise Linux Server (2.6.18-92.el5PAE) ildiz (hd0,0) yadro /boot/vmlinuz -2.6.18-92.el5PAE ro root=LABEL=/ rhgb jim selinux=0 initrd /boot/initrd-2.6.18-92.el5PAE.img sarlavhasi Enterprise Linux Enterprise Linux Server (2.6.18-92.el5) ildiz (hd0,0) yadrosi /boot/vmlinuz-2.6.18-92.el5 ro root=LABEL=/ rhgb jim selinux=0 initrd /boot/initrd-2.6.18-92.el5.img

4-usul: SELinux-ni faqat ma'lum xizmatlar uchun o'chirib qo'ying - HTTP/Apache

Agar siz SELinux-ni butunlay o'chirib qo'yishingiz shart bo'lmasa, faqat ma'lum xizmatlar uchun, sizda bu imkoniyat mavjud. Misol uchun, o'zgaruvchining qiymatini o'zgartirish orqali HTTP/Apache uchun SELinux-ni o'chirib qo'yamiz. httpd_disable_trans faylda /etc/selinux/targeted/booleans.

# grep httpd /etc/selinux/targeted/booleans httpd_builtin_scripting=1 httpd_disable_trans=1 httpd_enable_cgi=1 httpd_enable_homedirs=1 httpd_ssi_exec=1 httpd_tty_comm=0 httpd_unified=1 O'zgaruvchini setsebool buyrug'i yordamida ham o'rnating. Shundan so'ng, o'zgarishlar kuchga kirishi uchun httpd-ni qayta ishga tushiring.

# setsebool httpd_disable_trans 1# xizmat httpd qayta ishga tushirildi

Android 5.0 Lollipop-da Google sukut bo'yicha SeLinux xususiyatini yoqdi, bu tizim bo'limini o'zgartirishni juda qiyinlashtirdi! Qanday qilib o'chirish kerak? O'qing!

Mikrodasturni o'zgartirishni yaxshi ko'radigan yoki ilovani o'rnatishga muhtoj bo'lganlar uchun Google buni oldini olish uchun ko'p harakat qildi - tizim bo'limida tugaydigan fayllarni "buzadigan" selinux texnologiyasi faollashtirildi, shuningdek, o'zgartirilgan xavfsizlik tizimiga asoslangan. Knox-da, Samsungdan qarzga olingan. Bularning barchasi biz oddiy foydalanuvchilar tizim bo'limini o'zgartira olmasligimiz uchun yaratilgan! Uni tuzatish vaqti keldi!

Androidda himoyani o'chirish uchun nima kerak?

1. Kompyuter bilan UBUNTU OS

2. Yadro boot.img Android smartfon yoki planshetingizdan

Android yadrosida himoyani qanday o'chirish bo'yicha ko'rsatmalar

Tayyorgarlik

Fayl menejerida terminalni ochishni birlashtirgan paketni o'rnating

1. Terminalni oching va quyidagi buyruqni kiriting

32-bitli tizimlar uchun:

sudo apt-get install nautilus-open-terminal: i386

64 bitli tizimlar uchun:

sudo apt-get install nautilus-open-terminal

2. Keyin fayl menejerini qayta ishga tushirish buyrug'ini bajaring

3. Android yadrosi bilan ishlash uchun zarur bo'lgan paketni o'rnating

sudo apt-get install abootimg

Yadro bilan ishlash

1. Uy papkasida istalgan qulay nomga ega papka yarating va Android yadrosini u yerga o'tkazing - boot.img. (Misol yadro papkasini ko'rsatadi)

2. Jildga o'ting yadro, istalgan bo'sh joyda sichqonchaning o'ng tugmachasini bosing va "Terminalda ochish" -ni tanlang.

3. Ochilgan terminalda buyruqni kiriting:

abootimg -x boot.img

Keyin papkada yadro yangi papkalar paydo bo'lganligini ko'rasiz (yadro ochilgan)

4. Yangi papka yaratamiz (uni chaqiramiz rw) papka ichida yadro, terminalda biz yozamiz

5. Bo'limni yanada ochish uchun terminalda buyruq yozing initrd.img

zcat ../initrd.img | cpio -i

6. Keyin papkada rw siz juda ko'p fayllarni topasiz

7. Faylni toping va oching default.prop

8. Faylda qatorni o'zgartiring

va faylni saqlang va undan chiqing

9. Terminalda initrd.img faylini tuzing va buyruqni yozing

toping. | cpio -o -H newc | gzip > ../initrd.img

10. Biz yadro papkasiga qaytamiz, buning uchun biz terminalda yozamiz

11. Android yadrosini kiritilgan o'zgarishlar bilan kompilyatsiya qilish

abootimg --boot.img -k zImage -r initrd.img yaratish

va keyin yana bitta buyruq

abootimg --boot.img -f bootimg.cfg -k zImage -r initrd.img yaratish

init.d qo'llab-quvvatlanadigan Android yadrosi tugallandi! Keyinchalik siz miltillashingiz kerak!

Ana xolos! Ijtimoiy guruhlar bilan qoling va obuna bo'ling! Keyinchalik qiziqarliroq bo'ladi!

SELinux haqida juda ko'p narsa yozilgan, ammo bu materialning aksariyatida ikkita kamchilik mavjud. Yoki bu qanday qilib aniq bir narsani qilish bo'yicha qisqa amaliy maslahatlar, lekin uning qanday ishlashi va ishlashi haqida tushuntirishlarsiz. Va agar maqolada (yoki kitobning bobida) nazariy masalalar tasvirlangan bo'lsa, u qandaydir uzoq va chalkash.

Shuning uchun men SELinux nima ekanligini qisqacha va aniq tasvirlashga harakat qildim. Hali xavfsizlik tizimlariga duch kelmaganlar uchun mavjud. Qisqartirish istagi tufayli men ortiqcha yuklamaslik uchun ba'zi jihatlarni o'tkazib yubordim - bu maqolada faqat mohiyat bor. Xususan, men bu erda "eski" Linux xavfsizlik tizimi nima ekanligini tasvirlamayman - DAC (ixtiyoriy kirishni boshqarish, selektiv kirishni boshqarish). Yoki DAC, MAC va RBAC o'rtasidagi farqlar qanday. Qiziqqanlar bu haqda, masalan, Vikipediyada o'qishlari mumkin.

SELinux nima?

SELinux (Security Enhanced Linux) Bu majburiy va rolga asoslangan kirish modellariga asoslangan xavfsizlik tizimi. U 2000-yillarning boshida anʼanaviy UNIX xavfsizlik tizimining (DAC) kamchiliklarini tuzatish uchun ishlab chiqilgan. SELinux Linux yadrosining komponenti sifatida yadro versiyasi 2.6 dan boshlab joriy qilingan. Ya'ni, SELinux yadrosi 2.6 yoki undan keyingi versiyaga ega bo'lgan har qanday Linux tarqatishda ishlatilishi mumkin. Albatta, barcha distribyutorlar SELinux-dan foydalanishni imkon qadar osonlashtirmaydi, lekin printsipial jihatdan uni deyarli har biriga o'rnatish mumkin.

Bir nechta tarqatishlar SELinux-ni qutidan tashqarida o'rnatadi - RHEL, CentOS, Fedora. Shunday qilib, haqiqiy foydalanish uchun siz faqat SELinux-ni majburiy rejimga qo'yishingiz kerak. Bir nechta boshqa tarqatishlarda SELinux omborga kiritilgan, shuning uchun uni o'rnatish bir necha daqiqa vaqtni oladi - masalan, Debian, Ubuntu. Ushbu tarqatishlarda SELinux bitta buyruq bilan o'rnatiladi " sudo apt-get install selinux" keyin qayta ishga tushirish.

SELinux va DAC

SELinux DAC dan "keyin" ishlaydi. Ya'ni, SELinux-da DAC-da taqiqlangan operatsiyalarga ruxsat berilmaydi.
Boshqacha qilib aytganda, SELinux DAC orqali ruxsat etilgan amallarni to'ldiradi va belgilaydi. Biroq, SELinux DAC dan mustaqil ishlaydi.

Ob'ektlar va ob'ektlar

SELinux haqida gapirganda, sub'ektlar va ob'ektlar doimo eslatib o'tiladi. Ya'ni, SELinux sub'ektlar va ob'ektlar o'rtasidagi harakatlarda qo'llaniladigan ruxsat va taqiqlardir.

Mavzular - qat'iy aytganda, bular kompyuterda har qanday operatsiyalarni bajaradigan foydalanuvchilar. Biroq, foydalanuvchilar har doim biron bir dastur yoki boshqa dastur orqali harakat qilishadi. Ya'ni, inson foydalanuvchi kompyuterning o'zi va "o'z qo'llari bilan", masalan, faylga yoza olmaydi. Agar u faylga yozish kerak bo'lsa, u qandaydir dasturni ishga tushiradi. Shuning uchun sub'ektlar ko'pincha dasturlarni (jarayonlarni) anglatadi. Boshqacha qilib aytganda, sub'ektlar - muayyan harakatlarni bajaradiganlar.

Ob'ektlar - bu qanday harakatlar amalga oshiriladi. Ko'pincha ob'ektlar ma'lumotlar fayllariga murojaat qiladi. Ammo bu qurilmalar va hatto dasturlar bo'lishi mumkin. Misol:
cat /var/log/syslog | grep SELinux
ushbu buyruqda dastur grep dastur uchun ob'ekt mushuk. Va shunga ko'ra, mushuk dasturi grep dasturiga nisbatan mavzudir.

SELinux-ni qanday yoqish yoki o'chirish

SELinux-ni yoqish yoki o'chirish buyruq bilan amalga oshiriladi selinuxenabled 1 parametr bilan (SELinux-ni yoqish) yoki 0 (SELinux-ni o'chirish). Agar sizga tizimni ishga tushirishda SELinux-ni yoqish/o'chirish kerak bo'lsa, faylni tahrirlang /etc/selinux/config(SELinux parametri = o'chirish).

SELinux ish rejimlari

Ruxsat beruvchi- xavfsizlik siyosatini buzishga yo'l qo'yiladi. Bunday qoidabuzarliklar faqat tizim jurnalida qayd etiladi. Ya'ni, mohiyatiga ko'ra, SELinux ishlamaydi, faqat xavfsizlik siyosatining buzilishini qayd etadi.

Majburiy- xavfsizlik siyosatining buzilishi bloklanadi. SELinux to'liq ishlaydi.

Ish rejimlarini almashtirish buyruq bilan amalga oshiriladi setenforce 1-parametr (majburiy yoqilgan) yoki 0 (ruxsat beruvchini yoqish). Ammo tizim ishga tushganda darhol ish rejimini o'rnatishingiz kerak bo'lsa, faylni tahrirlang /etc/selinux/config(SELinux = parametr) uchta qiymatdan birini qabul qilishi mumkin - ruxsat beruvchi, majburiy, o'chirish (SELinux o'chirilgan).

Jamoa sestatus SELinux ning joriy ish rejimini bilish imkonini beradi.

SELinux jurnali (audit)

  • auditallow sozlamasi - hodisalarni qayd qilish.
  • dontaudit sozlamalari - hodisalarni qayd qilmang.

Operatsion mantiq:

  • agar operatsiya ruxsat etilgan bo'lsa, u faqat auditorlik holatida qayd etiladi;
  • Agar operatsiyaga ruxsat berilmagan bo'lsa, u faqat dontaudit holatida YO'Q.

Xavfsizlik konteksti (yorlig'i) SELinux

Bu quyidagilardan iborat ma'lumotlar to'plami:

  1. foydalanuvchi turi
  2. ma'lumotlar turi yoki jarayon domeni
  3. darajalar va toifalar (faqat ma'lum MLS/MCS siyosatlarida qo'llaniladi; umumiy siyosatlarda bu qiymatlar to'liq kirish uchun o'rnatiladi)

Xavfsizlik konteksti fayl atributlariga (fayl tizimida) yoziladi va SELinux o'rnatilganda yaratiladi (yorliqlash operatsiyasi). Oldindan tayinlangan xavfsizlik konteksti keyinchalik o'zgartirilishi mumkin - o'tish jarayoni.

Agar fayl tizimi SELinux teglarini (masalan, NFS) yozishni qo'llab-quvvatlamasa, teglar fayllardan alohida yoziladi, fayllar va teglar o'rtasidagi aloqa fayl yo'llari bo'ylab sodir bo'ladi. Agar fayl boshqa yo'lga ko'chirilgan bo'lsa, bu fayl va uning yorlig'i o'rtasida "bo'shliq" paydo bo'lishiga olib kelishi mumkin (masalan, bunday fayllar bilan katalog boshqa ulanish nuqtasiga qayta o'rnatilgan).

Fayl tizimi bunday teglarni yozishni qo'llab-quvvatlasa ham, fayl yorlig'i noto'g'ri bo'lishi mumkin, lekin fayl fayl tizimi ichida nusxa ko'chirish yoki ko'chirish operatsiyalari bilan noto'g'ri qo'llanilgan. Misol uchun, boshqa jildga nusxa ko'chirilganda, fayl ilgari mavjud bo'lgan yorliq o'rniga ushbu jild uchun belgilangan yorliqni (yorliq merosi) olishi mumkin. Shuning uchun SELinux-dan foydalanganda fayllardan nusxa ko'chirish va ko'chirish operatsiyalarini to'g'ri bajarish muhimdir.

SELinux kontekstlarini -Z kaliti bilan standart buyruqlar yordamida bilib olishingiz mumkin:

  • ps -eZ [| gerp dastur_nomi]: Ishlayotgan dasturlar uchun (yoki ma'lum bir dastur uchun) SELinux konteksti.
  • ls -Z: Fayllar uchun SELinux konteksti.
  • id-Z: Joriy foydalanuvchi uchun SELinux konteksti.

SELinux foydalanuvchisi

Bu login va parolga ega ma'lum bir foydalanuvchi emas, tavsiflovchi foydalanuvchi turi. Aslida, bu "eski" DAC xavfsizlik tizimidagi foydalanuvchilar guruhi bilan bir xil. Har bir yangi foydalanuvchi tizimga qo'shilganda, u sukut bo'yicha (yoki aniq) ba'zi SELinux foydalanuvchi turiga moslashtiriladi va keyinchalik uning foydalanuvchi turi uchun belgilangan ruxsatlar yoki cheklovlarga ega bo'ladi.

Rol

Ruxsat etilgan harakatlar ro'yxati. Vakolatlarni o'zgartirish uchun bir roldan ikkinchisiga o'tish mumkin. Bu foydalanuvchi identifikatorini o'zgartirmaydi (su/sudo buyruqlaridan farqli o'laroq). Rollar birlashmaydi, bir-birini almashtiradi.

Xavfsizlik siyosati bir roldan ikkinchisiga ruxsat etilgan o'tishni belgilaydi. Ya'ni, biron bir roldan biron bir rolga o'tish mumkin emas. Rollar har doim turlar (domenlar) bilan bog'liq bo'lganligi sababli, ular ko'pincha rollarni o'zgartirish haqida emas, balki domenni o'zgartirish (domenga o'tish) haqida gapirishadi.

SELinux turlari (domenlari).

SELinux sandbox sifatida ham tanilgan. Ular sub'ektlar va ob'ektlarni guruhlarga birlashtiradi va bu guruhlar doirasida sub'ektlarning ob'ektlarga ruxsat etilgan harakatlarini belgilaydi. Mavzular uchun tip atamasi o'rniga domen atamasi qo'llaniladi.
Oddiy qilib aytganda, siz shunday deyishingiz mumkin:
SELinux turi - ma'lumotlar uchun;
SELinux domeni - jarayonlar uchun.
SELinux-da, umumiy siyosatlarda, majburiy turdagi tayinlash mexanizmi qo'llaniladi - Type Enforcement. Ya'ni, har bir ob'ekt va sub'ekt qandaydir turga (yoki domenga) o'tkazilishi kerak.

SELinux siyosati

Tizimda tavsiflangan barcha munosabatlar to'plami: foydalanuvchi - rol - tur (domen) - daraja va toifa. Barcha foydalanuvchi turlari, barcha rollar, barcha turlar/domenlar. Ikki turdagi siyosat qo'llaniladi:

  • Turni bajarish (TE) - Rollarga asoslangan kirishni boshqarish (RBAC). Maqsadli va qat'iylik eng ko'p qo'llaniladigan TE - RBAC SELinux siyosatidir.
  • Bell-La Padula Modeli Ko'p darajali xavfsizlik (MLS) - Ko'p toifali xavfsizlik (MCS).

Siyosat maqsadli- maxsus cheklangan domenlarga kiritilmagan barcha jarayonlar unconfined_t cheklanmagan domenida ishlaydi. Bu siyosatda hali tasvirlanmagan jarayonlarni amalga oshirish imkonini beradi. Ammo bunday jarayonlar aslida deyarli ma'muriy huquqlar bilan amalga oshiriladi. Bu siyosatning zaif nuqtasi maqsadli.

Siyosat qat'iy- barcha jarayonlar maxsus cheklangan domenlarda ishlaydi, hech kim cheksiz unconfined_t domenida ishlamaydi; Qattiq siyosat juda ixtisoslashgan tarzda qo'llaniladi, chunki u har bir alohida holat uchun qo'lda sozlashni talab qiladi. Axir, ushbu siyosatda tasvirlanmagan jarayonlar shunchaki ishlamaydi. Ammo bu siyosat SELinux-da mavjud bo'lgan imkoniyatlar doirasida to'liq himoyani ta'minlaydi.

MLS/MCS siyosati

Majburiy kirish mexanizmiga asoslangan maxsus siyosat. Barcha sub'ektlar va ob'ektlarga kirish darajalari tayinlangan. Keyinchalik, ob'ekt va ob'ektning kirish darajalari nisbati asosida operatsiya uchun ruxsat yoki taqiq beriladi. Ruxsat mavzusi faqat ikkita operatsiya - fayldan o'qish va faylga yozish. Ushbu sxema o'rtasidagi muhim farq shundaki, ruxsatlar fayllarga emas, balki ushbu fayllar bilan bog'liq ma'lumotlar oqimiga beriladi.

Qoida shundaki, ma'lumotlar oqimi kirish darajasini pasaytirish yo'nalishi bo'yicha o'tishi mumkin emas. Ya'ni, yuqori darajadan past darajaga. Bu, birinchi qarashda, agar sub'ekt va ob'ekt turli xil kirish darajalariga ega bo'lsa, o'qish yoki kirishning mantiqsiz taqiqlanishiga olib keladi. Masalan, “maxfiy” kirish darajasiga ega bo‘lgan mavzu “sinflanmagan” kirish darajasiga ega faylga yoza olmaydi. Va "maxfiy" kirish huquqiga ega bo'lgan bir xil mavzu "o'ta maxfiy" darajadagi fayldan o'qiy olmaydi, lekin bu faylga yozishi mumkin.

Biroq, bu erda mantiq bor, u faqat boshqacha. Agar Maxfiy ob'ekt ma'lumotni tasniflanmagan faylga yozsa, bu fayl (potentsial) maxfiy ma'lumotlarni o'z ichiga oladi, lekin tasniflanmagan ob'ektlar uchun ochiq bo'ladi. Ya'ni, ma'lumotlarning tarqalishi mumkin bo'ladi. Shuning uchun, MLSda fayllarga yozish faqat quyi darajadan yuqori darajagacha ruxsat etiladi.

Kirish darajasi yorliqlarini belgilashda ushbu xususiyatni tushunish kerak.

Darajalar bilan bir qatorda, kirish toifalar bo'yicha ham tartibga solinadi. “Dengiz kuchlari” turkumiga kirish huquqiga ega boʻlmagan subʼyekt ushbu turkum bilan belgilangan maʼlumotlarga kira olmaydi. Ushbu mavzu eng yuqori kirish darajasiga ega bo'lsa ham.
SELinux kontekstida darajalar va toifalar uchun kirish quyidagicha ko'rinadi: " s0-s0:c0.c1023"Qaerda" s0-s0"ruxsat etilgan darajalar" c0.c1023"Qabul qilinadigan toifalar. Bu maxsus yozuv " s0-s0:c0.c1023" har qanday toifadagi ob'ektlarga kirishning eng yuqori darajasini anglatadi.

Kontekstning bu qismi faqat maxsus MLS/MCS siyosatlarida qo'llaniladi. Maqsadli yoki qat'iy kabi umumiy siyosatlarda kontekstning bu qismi oddiygina maksimal ruxsat darajasiga o'rnatiladi va shuning uchun kirishga ta'sir qilmaydi.

Xulosa

SELinux majburiy rejimga o'tganda va qat'iy siyosat yoki MLS/MCS siyosatidan foydalanganda maksimal himoyani ta'minlaydi.

Agar SELinux ruxsat beruvchi rejimda ishlayotgan bo'lsa, u holda himoya deyarli yo'q - faqat joriy siyosatning buzilishi qayd etiladi.

Agar SELinux majburiy rejimga o'tgan bo'lsa, lekin maqsadli siyosat ishlatilsa, himoya faqat siyosatda ruxsat va cheklovlar belgilangan "ma'lum" dasturlar uchun taqdim etiladi. "Noma'lum" dastur aslida ma'muriy imtiyozlarga ega.

Agar siz Krasnodarda yashasangiz, o'rnatishning oson yo'li bor SELinux va undan foydalanishni o'rganing.

Agar siz ushbu maqolani foydali deb topsangiz yoki shunchaki yoqqan bo'lsangiz, muallifni moliyaviy qo'llab-quvvatlashdan tortinmang. Buni pul otish orqali qilish oson Yandex hamyon raqami 410011416229354. Yoki telefonda +7 918-16-26-331 .

Hatto kichik miqdor ham yangi maqolalar yozishga yordam beradi :)

Tegishli maqolalar

SELinux(Security-Enhanced Linux) - majburiy kirishni boshqarish tizimi bo'lib, u Linuxda standart klassik kirishni boshqarish tizimi bilan parallel ravishda ishlashi mumkin. SELinux foydalanuvchilarga yoki dasturlarga kirish qoidalarini yaratishi mumkin, bu esa ularning ayrim kirishlarini cheklash imkonini beradi. Ushbu material xavfsizlik quyi tizimining turli ish rejimlarini qanday o'rnatishni yoki uni Linux OS da oddiygina o'chirishni tasvirlaydi.

SELinux holati

Jamoalar /usr/sbin/getenforce Va /usr/sbin/sestatus SELinux ning joriy holatini tekshirish uchun ishlatiladi. Jamoa getenforce Majburiy, ruxsat beruvchi yoki o'chirilgan qaytaradi. SELinux yoqilganda getenforce buyrug'i Enforcing ni qaytaradi (SELinux siyosati qoidalari majburiy):

# /usr/sbin/getenforce majburlash

SELinux yoqilganda getenforce buyrug'i ruxsat beruvchini qaytaradi, lekin SELinux siyosati qoidalari qo'llanilmaydi va faqat DAC qoidalari ishlatiladi. SELinux o'chirilgan bo'lsa, getenforce buyrug'i Disabledni qaytaradi.

Sestatus buyrug'i SELinux holatini va foydalanilayotgan SELinux siyosatini qaytaradi:

# /usr/sbin/sestatus

SELinux holati: yoqilgan qiymati SELinux yoqilganda qaytariladi. Joriy rejim: SELinux majburiy rejimda yoqilganda, majburlash qaytariladi. Konfiguratsiya faylidagi siyosat: SELinux maqsadli siyosati ishlatilganda maqsadli qaytariladi.

SELinux boshqaruvi

SELinux o'chirilgan operatsion tizimlarda parametr sozlangan SELINUX=o‘chirilgan V /etc/selinux/config:

# Ushbu fayl tizimdagi SELinux holatini nazorat qiladi. # SELINUX= ushbu uchta qiymatdan birini qabul qilishi mumkin: # majburlash - SELinux xavfsizlik siyosati amalga oshiriladi. # ruxsat beruvchi - SELinux majburlash o'rniga ogohlantirishlarni chop etadi. # o'chirilgan - SELinux siyosati yuklanmagan. SELINUX=o'chirilgan # SELINUXTYPE= ushbu ikkita qiymatdan birini qabul qilishi mumkin: # maqsadli - Maqsadli jarayonlar himoyalangan, # mls - Ko'p darajali xavfsizlik himoyasi. SELINUXTYPE=maqsadli

Shuningdek, jamoa getenforce qiymatni qaytaradi O'chirilgan:

# /usr/sbin/getenforce o'chirilgan

SELinux-ni yoqish uchun:

Agar bunday bo'lmasa, foydalanuvchi xaritalaridagi xatolarni tuzatish uchun buyruqni ildiz foydalanuvchi sifatida ishlating. Ogohlantirishlarga e'tibor bermaslik xavfsizroq SELinux-foydalanuvchi foydalanuvchi nomi allaqachon belgilangan, agar ular paydo bo'lsa, qaerda foydalanuvchi nomi unconfined_u, guest_u yoki xguest_u bo'lishi mumkin.

Bu kirishni boshqarish xavfsizligi siyosatini qo'llab-quvvatlash mexanizmini taqdim etadi. SELinux ba'zan yo'lingizga to'sqinlik qilishi mumkin. Shuning uchun siz o'chirib qo'yishingiz kerak SELinux . Biroq, SELinux-ni o'chirish/o'chirishdan oldin, nima uchun buni qilayotganingizga yaxshi sabab borligiga ishonch hosil qiling.

SELinux-ni qanday qilib vaqtincha o'chirish/o'chirish mumkin

1-qadam: Avvalo, quyidagi buyruq yordamida joriy SELinux holatini tekshiring:

# getenforce majburlash #

Xuddi shu narsaga olib keladigan buyruq bilan boshqa usuldan foydalanish:

# sestatus SELinux holati: yoqilgan SELinuxfs o'rnatish: /selinux Joriy rejim: konfiguratsiya faylidan rejimni qo'llash: qo'llash siyosati versiyasi: 24 Konfiguratsiya faylidan siyosat: maqsadli #

2-qadam: Vaqtinchalik o'chirish/o'chirish uchun SELinux , quyidagi usuldan foydalaning:

# echo 0 > /selinux/enforce

Boshqa usul

# setenforce 0

Katta ehtimol bilan uni ruxsat beruvchi rejimga o'rnatishingiz mumkin. Natijada, SELinux uni bajarish o'rniga ogohlantirish xabarlarini chiqaradi. Xuddi shunday qilish uchun quyidagi buyruqdan foydalaning:

# setenforce ruxsat beruvchi

Avvalo, tasvirlangan usul siz qayta ishga tushguningizcha ishlaydi. Natijada, u keyingi qayta ishga tushirilgunga qadar ishlaydi. Bundan tashqari, agar siz buni qayta yuklash orqali doimiy ravishda qilishni istasangiz, quyidagi tartibni bajaring.

Qanday qilib SELinux-ni doimiy ravishda o'chirish-o'chirish mumkin

Uni butunlay o'chirib qo'yish uchun " qiymatini o'zgartiring. SELinux"yoq" nogiron"faylda" /etc/sysconfig/SELinux"quyida ko'rsatilganidek

Nihoyat, quyidagi buyruq bilan qayta tekshiring:

# sestatus SELinux holati: o'chirilgan

2024 rockfanatics.ru - Windows. Temir. Internet. Xavfsizlik. OS. Xavfsizlik