Comandos básicos de Selinux
Nota: Todos los comandos indicados a continuación se han ejecutado en Centos 8. Sin embargo, si desea utilizar cualquier otra distribución de Linux, también puede hacerlo muy convenientemente.
Comandos básicos de Selinux
Hay algunos comandos básicos que se usan con mucha frecuencia con Selinux. En las siguientes secciones, primero declararemos cada comando, luego proporcionaremos ejemplos para mostrarle cómo usar cada comando.
Comprobando el estado de Selinux
Después de lanzar el terminal en CentOS 8, supongamos que nos gustaría examinar el estado de Selinux, yo.mi., Nos gustaría determinar si Selinux está habilitado en CentOS 8. Podemos ver el estado de Selinux en CentOS 8 ejecutando el siguiente comando en el terminal:
$ sestatusEjecutar este comando nos dirá si Selinux está habilitado en Centos 8. Selinux está habilitado en nuestro sistema, y puede ver este estado resaltado en la imagen a continuación:
Cambiar el estado de Selinux
Selinux siempre está habilitado de forma predeterminada en sistemas basados en Linux. Sin embargo, si tiene ganas de apagar Selinux o deshabilitarlo, puede hacerlo ajustando el archivo de configuración de Selinux de la siguiente manera:
$ sudo nano/etc/selinux/configCuando se ejecuta este comando, el archivo de configuración de Selinux se abrirá con el editor nano, como se muestra en la imagen a continuación:
Ahora, debe averiguar la variable Selinux en este archivo y cambiar su valor de "hacer cumplir" a "deshabilitado", después de eso, presione Ctrl+ X para guardar su archivo de configuración de Selinux y regrese al terminal.
Cuando verifica el estado de Selinux nuevamente ejecutando el comando "sestatus" anterior, el estado en el archivo de configuración cambiará a "deshabilitado", mientras que el estado actual aún estará "habilitado", como se destaca en la siguiente imagen:
Por lo tanto, para poner sus cambios en pleno efecto, deberá reiniciar su sistema CentOS 8 ejecutando el siguiente comando:
$ sudo shutdown -r ahoraDespués de reiniciar su sistema, cuando verifica el estado de Selinux nuevamente, Selinux se deshabilitará.
Comprobación del modo de operación Selinux
Selinux está habilitado de forma predeterminada y funciona en el modo "Hacer cumplir", que es su modo predeterminado. Puede determinar esto ejecutando el comando "sestatus" o abriendo el archivo de configuración de Selinux. Esto también se puede verificar ejecutando el comando a continuación:
$ getenforceDespués de ejecutar el comando anterior, verá que Selinux está funcionando en el modo "Hacer cumplir":
Cambiar el modo de operación Selinux
Siempre puede cambiar el modo de funcionamiento predeterminado de Selinux de "hacer cumplir" a "Permisivo."Para hacer esto, debe usar el comando" setenforce "de la siguiente manera:
$ sudo setenforce 0Cuando se usa con el comando "setenforce", el indicador "0" cambia el modo de Selinux de "hacer cumplir" a "Permisivo."Puede verificar si el modo predeterminado se ha cambiado ejecutando nuevamente el comando" getenforce ", y verá que el modo Selinux se ha establecido en" Permisivo ", como se destaca en la imagen a continuación:
Ver módulos de política Selinux
También puede ver módulos de política Selinux que se ejecutan actualmente en su sistema CentOS 8. Los módulos de política de Selinux se pueden ver ejecutando el siguiente comando en el terminal:
$ sudo semodule -lEjecución de este comando mostrará todos los módulos de política Selinux que se ejecutan actualmente en su terminal, como se muestra en la imagen a continuación. Para acceder a toda la lista, puede desplazarse hacia arriba o hacia abajo.
Generación del informe de registro de auditoría de Selinux
En cualquier momento, puede generar un informe de sus registros de auditoría de Selinux. Este informe contendrá toda la información sobre cualquier evento potencial que haya sido bloqueado por Selinux y también cómo puede permitir los eventos bloqueados si es necesario. Este informe se puede generar ejecutando el siguiente comando en el terminal:
$ sudo sellert -a/var/log/audit/audit.registroEn nuestro caso, dado que no había actividad sospechosa, es por eso que nuestro informe fue muy preciso y no generó ninguna alerta, como se muestra en la imagen a continuación:
Ver y cambiar Selinux boolean
Hay ciertas variables de Selinux cuyo valor puede estar "encendido" o "apagado."Tales variables se conocen como Selinux Boolean. Para ver todas las variables booleanas de Selinux, use el comando "getSebool" de la siguiente manera:
$ sudo getsebool -aLa ejecución de este comando mostrará una larga lista de todas las variables de Selinux cuyo valor puede estar "encendido" o "apagado", como se muestra en la imagen a continuación:
Lo mejor de Selinux Boolean es que incluso después de cambiar los valores de estas variables, no necesita reiniciar su mecanismo Selinux; más bien, estos cambios entran en vigencia de inmediato y automáticamente.
Ahora, nos gustaría mostrarle el método de cambiar el valor de cualquier variable booleana de Selinux. Ya hemos seleccionado una variable, como se resalta en la imagen que se muestra arriba, cuyo valor está actualmente "apagado."Podemos alternar este valor a" ON "ejecutando el siguiente comando en nuestro terminal:
$ sudo setsebool -p xen_use_nfs enAquí, puede reemplazar xen_use_nfs con cualquier selinux boolean de su elección cuyo valor desea cambiar.
Después de ejecutar el comando anterior, cuando ejecute el comando "getseBool" nuevamente para ver todas las variables booleanas de Selinux, podrá ver que el valor de xen_use_nfs se ha establecido en "ON", como se destaca en la imagen a continuación:
Conclusión
En este artículo, discutimos todos los comandos básicos de Selinux en Centos 8. Estos comandos se usan con bastante frecuencia mientras interactúan con este mecanismo de seguridad de Selinux. Por lo tanto, estos comandos se consideran extremadamente útiles.