Set enforcing and permissive modes for SELinux:

Um mecanismos essencial para garantir uma eficaz segurança do nosso sistema é o SELinux, este é uma implementação próxima de uma arquitetura MAC­ (Medium Access Control), para os sistemas de base Linux.

O SELinux, provê um conjunto de políticas de segurança sobre todos os ficheiros, utilizadores, processos e objetos baseando as suas decisões num conjunto de etiquetas que são compostas por um conjunto de informações essenciais à descrição das suas funções e capacidades.

Cada etiqueta é composta pela seguinte informação:

# ls -Z
[Utilizador]:[Propósito]:[Tipo]:[Nível]

Sendo que é de se notar que estas informações são todas próprias do SELinux não se devendo confundir noções passadas adquiridas sobre utilizadores, etc, pois o SELinux segue a sua própria nomenclatura sobre estas designações. Contudo, e visto que será abordado nos próximos tópicos, iremos para já não entrar em pormenores sobre o método de etiquetação dos diferentes objetos e vamos antes perceber o funcionamento global do SELinux.

O ficheiro onde podemos encontrar logo algumas informações sobre este aspeto e efetuar algumas configurações predefinidas é o /etc/selinux/config . Aqui podemos perceber que o SELinux, pode ter 3 estados:

  • Enforcing- Todas as políticas são postas em pratica, sendo negados acessos indevidos.

  • Permissive- Todas as ações são permitidas, sendo que caso alguma vá contra as políticas impostas, invés de ser bloqueada será apenas despoletada uma notificação e registo de log;

  • Disabled- Nenhuma política está ativa, nem será despoletada nenhuma notificação ao utilizador.

Note-se que pode ser alterado o valor da variável “SELINUX=”para qualquer um dos estados explicados acima, deste modo na próxima vez que o sistema for reiniciado o SELinux irá desde logo assumir o estado definido.

De modo a obtermos o estado atual do SELinux no nosso sistema podemos usar o seguinte comando:

# sestatus ou # getenforce

E caso queiramos alterar o estado do sistema de imediato sem ter de efetuar um reset usamos o seguinte comando:

# setenforce [Estado]

PreviousConfigure firewall settings using firewall-config, firewall-cmd, or iptables:NextList and identify SELinux file and process context:

Last updated

Was this helpful?