Nota: Todos os comandos declarados abaixo foram executados no CentOS 8. No entanto, se você quiser usar qualquer outra distribuição do Linux, você também pode fazê-lo de forma muito conveniente.
Comandos SELinux Básicos
Existem alguns comandos básicos que são usados com freqüência com o SELinux. Nas seções a seguir, primeiro declararemos cada comando e, em seguida, forneceremos exemplos para mostrar a você como usar cada comando.
Verificando o status do SELinux
Depois de lançar o terminal no CentOS 8, suponha que gostaríamos de examinar o status do SELinux, i.e., gostaríamos de determinar se o SELinux está habilitado no CentOS 8. Podemos ver o status do SELinux no CentOS 8 executando o seguinte comando no terminal:
$ sestatus
Executar este comando nos dirá se o SELinux está habilitado no CentOS 8. O SELinux está habilitado em nosso sistema, e você pode ver esse status destacado na imagem abaixo:
Alterando o status do SELinux
SELinux é sempre habilitado por padrão em sistemas baseados em Linux. No entanto, se quiser desligar ou desabilitar o SELinux, você pode fazer isso ajustando o arquivo de configuração do SELinux da seguinte maneira:
$ sudo nano / etc / selinux / config
Quando este comando for executado, o arquivo de configuração do SELinux será aberto com o editor nano, conforme mostrado na imagem abaixo:
Agora, você precisa descobrir a variável SELinux neste arquivo e alterar seu valor de “Enforcing” para “Disabled,” Depois disso, pressione Ctrl + X para salvar seu arquivo de configuração SELinux e voltar ao terminal.
Ao verificar o status do SELinux novamente executando o comando “sestatus” acima, o status no arquivo de configuração mudará para “Desativado”, enquanto o status atual ainda será “Ativado”, conforme destacado na imagem a seguir:
Portanto, para colocar suas alterações em pleno vigor, você precisará reinicializar o sistema CentOS 8 executando o seguinte comando:
$ sudo shutdown -r now
Após reiniciar seu sistema, quando você verificar o status do SELinux novamente, o SELinux será desabilitado.
Verificando o modo de operação do SELinux
O SELinux é habilitado por padrão e funciona no modo “Enforcing”, que é seu modo padrão. Você pode determinar isso executando o comando “sestatus” ou abrindo o arquivo de configuração SELinux. Isso também pode ser verificado executando o comando abaixo:
$ getenforce
Depois de executar o comando acima, você verá que o SELinux está operando no modo “Impondo”:
Alterando o modo de operação do SELinux
Você sempre pode alterar o modo padrão de operação do SELinux de “Imposto” para “Permissivo.”Para fazer isso, você precisa usar o comando“ setenforce ”da seguinte maneira:
$ sudo setenforce 0
Quando usado com o comando “setenforce”, o sinalizador “0” muda o modo do SELinux de “Impingindo” para “Permissivo.”Você pode verificar se o modo padrão foi alterado executando o comando“ getenforce ”novamente e verá que o modo SELinux foi definido como“ Permissivo ”, conforme destacado na imagem abaixo:
Visualizando Módulos de Política SELinux
Você também pode ver os módulos de política SELinux que estão atualmente em execução em seu sistema CentOS 8. Os módulos de política do SELinux podem ser visualizados executando o seguinte comando no terminal:
$ sudo semodule -l
Executar este comando irá exibir todos os módulos de política SELinux atualmente em execução em seu terminal, como mostrado na imagem abaixo. Para acessar a lista inteira, você pode rolar para cima ou para baixo.
Gerando Relatório de Log de Auditoria SELinux
A qualquer momento, você pode gerar um relatório de seus logs de auditoria SELinux. Este relatório conterá todas as informações sobre qualquer evento potencial que foi bloqueado pelo SELinux e também como você pode permitir o (s) evento (s) bloqueado (s), se necessário. Este relatório pode ser gerado executando o seguinte comando no terminal:
$ sudo sealert -a / var / log / audit / audit.registro
No nosso caso, como não ocorreu nenhuma atividade suspeita, por isso nosso relato foi muito preciso e não gerou nenhum alerta, conforme mostra a imagem abaixo:
Visualizando e Alterando o Booleano SELinux
Existem certas variáveis do SELinux cujo valor pode ser "on" ou "off.”Tais variáveis são conhecidas como SELinux Boolean. Para visualizar todas as variáveis booleanas SELinux, use o comando “getsebool” da seguinte maneira:
$ sudo getsebool -a
A execução deste comando exibirá uma longa lista de todas as variáveis do SELinux cujo valor pode ser "on" ou "off", conforme mostrado na imagem abaixo:
A melhor coisa sobre o SELinux Boolean é que mesmo depois de alterar os valores dessas variáveis, você não precisa reiniciar seu mecanismo SELinux; em vez disso, essas mudanças entram em vigor imediata e automaticamente.
Agora, gostaríamos de mostrar o método de alterar o valor de qualquer variável booleana SELinux. Já selecionamos uma variável, conforme destacado na imagem mostrada acima, cujo valor está atualmente “desligado.”Podemos alternar esse valor para“ on ”executando o seguinte comando em nosso terminal:
$ sudo setsebool -P xen_use_nfs ONAqui, você pode substituir xen_use_nfs por qualquer SELinux Boolean de sua escolha cujo valor você deseja alterar.
Depois de executar o comando acima, ao executar o comando “getsebool” novamente para visualizar todas as variáveis booleanas SELinux, você poderá ver que o valor de xen_use_nfs foi definido como “on”, conforme destacado na imagem abaixo:
Conclusão
Neste artigo, discutimos todos os comandos básicos do SELinux no CentOS 8. Esses comandos são usados com bastante frequência ao interagir com este mecanismo de segurança do SELinux. Portanto, esses comandos são considerados extremamente úteis.