W dzisiejszym artykule chcielibyśmy podzielić się z Wami sposobami ustawienia SELinuksa w tryb Permissive po zapoznaniu się z jego ważnymi szczegółami.
Co to jest tryb zezwalający SELinux?
Tryb Permissive jest również jednym z trzech trybów, w których działa SELinux, tj. Enforcing, Permissive i Disabled. Są to trzy szczególne kategorie trybów SELinux, podczas gdy ogólnie możemy powiedzieć, że w każdym konkretnym przypadku SELinux będzie albo włączony, albo wyłączony. Oba tryby: Wymuszanie i Tolerancja należą do kategorii Włączone. Innymi słowy, oznacza to, że za każdym razem, gdy SELinux jest włączony, będzie działał w trybie Enforcing lub Permissive.
Dlatego większość użytkowników myli się między trybami Egzekwowania i Zezwolenia, ponieważ w końcu oba należą do kategorii Włączone. Chcielibyśmy dokonać wyraźnego rozróżnienia między tymi dwoma, najpierw określając ich cele, a następnie przypisując to do przykładu. Tryb wymuszania działa poprzez implementację wszystkich reguł określonych w polityce bezpieczeństwa SELinux. Blokuje dostęp wszystkim użytkownikom, którzy nie mają dostępu do określonego obiektu w polityce bezpieczeństwa. Co więcej, ta aktywność jest również rejestrowana w pliku dziennika SELinux.
Z drugiej strony tryb Permissive nie blokuje niepożądanego dostępu, a raczej po prostu rejestruje wszystkie takie działania w pliku dziennika. Dlatego ten tryb jest używany głównie do śledzenia błędów, audytu i dodawania nowych reguł bezpieczeństwa. Rozważmy teraz przykład użytkownika A, który chce uzyskać dostęp do katalogu o nazwie ABC. W polityce bezpieczeństwa SELinux wspomniano, że użytkownikowi A zawsze będzie odmówiony dostęp do katalogu ABC.
Teraz, jeśli Twój SELinux jest włączony i działa w trybie Wymuszania, to za każdym razem, gdy użytkownik A spróbuje uzyskać dostęp do katalogu ABC, dostęp zostanie odmówiony, a zdarzenie to zostanie zapisane w pliku dziennika. Z drugiej strony, jeśli Twój SELinux działa w trybie Permissive, to użytkownik A będzie miał dostęp do katalogu ABC, ale i tak to zdarzenie zostanie zapisane w pliku dziennika, aby administrator mógł wiedzieć, gdzie doszło do naruszenia bezpieczeństwa wystąpił.
Metody ustawiania SELinux w trybie zezwalającym na CentOS 8
Teraz, gdy w pełni zrozumieliśmy cel trybu Permissive SELinux, możemy łatwo porozmawiać o metodach ustawiania SELinux na tryb Permissive w CentOS 8. Jednak przed przejściem do tych metod zawsze dobrze jest sprawdzić stan domyślny SELinuksa, uruchamiając w terminalu następujące polecenie:
$status
Domyślny tryb SELinux jest podświetlony na poniższym obrazku:
Metoda tymczasowego ustawienia SELinux w trybie zezwalającym na CentOS 8
Przez tymczasowe ustawienie SELinux w trybie Permissive, mamy na myśli, że ten tryb będzie włączony tylko dla bieżącej sesji i jak tylko zrestartujesz system, SELinux powróci do swojego domyślnego trybu działania, tj. Trybu Wymuszania. Aby tymczasowo ustawić SELinux w trybie Permissive, musisz uruchomić następujące polecenie na swoim terminalu CentOS 8:
$sudosetenforce0 
Ustawiając wartość flagi setenforce na 0, zasadniczo zmieniamy jej wartość na Permissive z Enforcing. Uruchomienie tego polecenia nie spowoduje wyświetlenia żadnych danych wyjściowych, co można zobaczyć na poniższym obrazku.
Teraz, aby sprawdzić, czy SELinux został ustawiony w tryb Permissive w CentOS 8, czy nie, uruchomimy następujące polecenie w terminalu:
$getenforce 
Uruchomienie tego polecenia zwróci bieżący tryb SELinux, który będzie tolerowany, jak pokazano na poniższym obrazku. Jednak jak tylko zrestartujesz system, SELinux powróci do trybu Wymuszania.
Metoda trwałego ustawienia SELinux w trybie zezwalającym na CentOS 8
Stwierdziliśmy już w Metodzie nr 1, że zastosowanie powyższej metody tylko tymczasowo ustawi SELinux w trybie Permissive. Jeśli jednak chcesz, aby te zmiany były widoczne nawet po ponownym uruchomieniu systemu, musisz uzyskać dostęp do pliku konfiguracyjnego SELinux w następujący sposób:
$sudo nano /itp/selinuks/konfiguracja 
Plik konfiguracyjny SELinux jest pokazany na poniższym obrazku:
Teraz musisz ustawić wartość zmiennej SELinux na permissive, jak pokazano na poniższym obrazku, po czym możesz zapisać i zamknąć plik.
Teraz musisz jeszcze raz sprawdzić stan SELinuksa, aby dowiedzieć się, czy jego tryb został zmieniony na Tolerancyjny, czy nie. Możesz to zrobić, uruchamiając w terminalu następujące polecenie:
$status 
W podświetlonej części obrazu pokazanego poniżej widać, że w tej chwili tylko tryb z pliku konfiguracyjnego jest zmieniany na Tolerancyjny, podczas gdy bieżący tryb jest nadal wymuszający.
Teraz, aby nasze zmiany zaczęły obowiązywać, ponownie uruchomimy nasz system CentOS 8, uruchamiając w terminalu następujące polecenie:
$sudozamknij –r teraz 
Po ponownym uruchomieniu systemu, gdy ponownie sprawdzisz stan SELinux za pomocą polecenia sestatus, zauważysz, że bieżący tryb również został ustawiony na Permissive.
Wniosek:
W tym artykule poznaliśmy różnicę między trybami Enforcing i Permissive SELinux. Następnie podzieliliśmy się z Wami dwoma metodami ustawienia SELinux w trybie Permissive w CentOS 8. Pierwsza metoda służy do tymczasowej zmiany trybu, podczas gdy druga metoda służy do trwałej zmiany trybu na Permissive. Możesz użyć dowolnej z dwóch metod zgodnie ze swoimi wymaganiami.