Use boolean settings to modify system SELinux settings:

Um valor booleano, é um valor que pode apenas variar entre 2 estados possíveis, ligado/desligado, on/off, verdadeiro/falso. Esta lógica pode ser aplicada informaticamente permitindo a um utilizador escolher entre apenas 2 opções, restringindo assim as escolhas e de certa forma simplificando as mesmas.

No SELinux existem várias possíveis configurações pré-definidas que o administrador pode simplesmente ativar/desativar pendente as suas necessidades.

Para se consultar todas as configurações possíveis de alteração pode ser usado o seguinte comando:

# getsebool -a

Este, lista todas as configurações pré-existentes no sistema, sendo que torna-se útil efetuar um pipe do output deste comando para um grep que permita capturar todos os booleans referentes ao determinado serviço que pretendemos. Imaginemos que pretendemos visualizar as configurações referentes ao FTP:

# getsebool -a | grep ftp
    ftpd_anon_write --> off
    ftpd_connect_all_unreserved --> off
    ftpd_connect_db --> off
    ftpd_full_access --> off
    ftpd_use_cifs --> off
    ftpd_use_fusefs --> off
    ftpd_use_nfs --> off
    ftpd_use_passive_mode --> off
    httpd_can_connect_ftp --> off
    httpd_enable_ftp_server --> off
    tftp_anon_write --> off
    tftp_home_dir --> off

Caso se pretenda alterar algum boolean daqueles devolvidos pelo comando, podemos usar o seguinte comando:

# setsebool -VP [Boolean] [(on/off)/(1/0)]

Sendo que a opção “-V”devolve por escrito erros encontrados e a opção “-P” faz com que esta alteração permaneça mesmo após um reboot.

Contudo, caso seja pretendido perceber melhor o que cada boolean significa, é necessário instalar o pacote “setroubleshoot-server”de forma a poder obter novos utilitários, desenhados especificamente para a manipulação, gestão e controlos de erros do SELinux.

# yum -y install setroubleshoot-server

Para se poder listar novamente todos os booleans, contudo desta vez associados aos mesmos uma descrição, usamos o seguinte comando:

# semanage boolean -l

Caso se queria apenas listar os booleans que têm um valor diferente do default, ou seja, já foram modificados, adicionamos a opção “-C” ao anterior comando.

Tendo estas noções devidamente assentes, podemos manipular o SELinux como pretendermos, contudo, e inevitavelmente, vamos nos depara com erros e dificuldades aquando execução de certas configurações , sendo que temos de conhecer os métodos relacionados com o controlo de erros e gestão dos mesmos, em relação a este serviço. Vamos analisar isso mesmo no seguinte tópico.

PreviousRestore default file contexts:NextDiagnose and address routine SELinux policy violations:

Last updated

Was this helpful?