Wie setze ich SELinux in den Permissive Mode?

How Do I Set Selinux Permissive Mode

SELinux oder Security-Enhanced Linux, d.h. der Sicherheitsmechanismus der Linux-basierten Systeme arbeitet standardmäßig auf Mandatory Access Control (MAC). Um dieses Zugangskontrollmodell zu implementieren, verwendet SELinux eine Sicherheitsrichtlinie, in der alle Regeln zur Zugangskontrolle explizit festgelegt sind. Basierend auf diesen Regeln trifft SELinux Entscheidungen, ob einem Benutzer der Zugriff auf ein Objekt gewährt oder verweigert wird.

Im heutigen Artikel möchten wir Ihnen die Methoden zum Einstellen von SELinux in den Permissive-Modus vorstellen, nachdem wir Sie durch die wichtigen Details geführt haben.



Was ist der SELinux-Freigabemodus?

Der Permissive-Modus ist auch einer der drei Modi, in denen SELinux arbeitet, d. h. Enforcing, Permissive und Disabled. Dies sind die drei bestimmten Kategorien von SELinux-Modi, während wir allgemein sagen können, dass SELinux in jedem Fall entweder aktiviert oder deaktiviert ist. Die Modi Erzwingen und Freigeben fallen beide in die Kategorie 'Aktiviert'. Mit anderen Worten bedeutet dies, dass SELinux immer dann, wenn es aktiviert ist, entweder im Enforcing-Modus oder im Permissive-Modus betrieben wird.



Aus diesem Grund werden die meisten Benutzer zwischen den Modi Erzwingen und Freigeben verwechselt, da sie beide in die Kategorie 'Aktiviert' fallen. Wir möchten die beiden klar voneinander unterscheiden, indem wir zunächst ihren Zweck definieren und dann an einem Beispiel abbilden. Der Enforcing-Modus funktioniert durch die Implementierung aller Regeln, die in der SELinux-Sicherheitsrichtlinie angegeben sind. Es blockiert den Zugriff aller Benutzer, denen der Zugriff auf ein bestimmtes Objekt in der Sicherheitsrichtlinie nicht gestattet ist. Darüber hinaus wird diese Aktivität auch in der SELinux-Logdatei protokolliert.



Andererseits blockiert der Permissive-Modus den unerwünschten Zugriff nicht, sondern zeichnet alle derartigen Aktivitäten einfach in der Protokolldatei auf. Daher wird dieser Modus hauptsächlich zum Verfolgen von Fehlern, zum Überwachen und zum Hinzufügen neuer Sicherheitsrichtlinienregeln verwendet. Betrachten Sie nun ein Beispiel für einen Benutzer A, der auf ein Verzeichnis namens ABC zugreifen möchte. In der SELinux-Sicherheitsrichtlinie wird erwähnt, dass dem Benutzer A immer der Zugriff auf das Verzeichnis ABC verweigert wird.

Wenn Ihr SELinux nun aktiviert ist und im Enforcing-Modus arbeitet, wird der Zugriff verweigert, wenn der Benutzer A versucht, auf das Verzeichnis ABC zuzugreifen, und dieses Ereignis wird in der Protokolldatei aufgezeichnet. Auf der anderen Seite, wenn Ihr SELinux im Permissive-Modus arbeitet, wird dem Benutzer A der Zugriff auf das Verzeichnis ABC erlaubt, aber dieses Ereignis wird dennoch in der Protokolldatei aufgezeichnet, damit ein Administrator weiß, wo die Sicherheitsverletzung liegt aufgetreten.

Methoden zum Einstellen von SELinux in den Permissive-Modus auf CentOS 8

Wenn wir nun den Zweck des Permissive-Modus von SELinux vollständig verstanden haben, können wir leicht über die Methoden zum Setzen von SELinux in den Permissive-Modus unter CentOS 8 sprechen. Bevor Sie jedoch mit diesen Methoden fortfahren, ist es immer gut, den Standardstatus zu überprüfen von SELinux, indem Sie den folgenden Befehl in Ihrem Terminal ausführen:



$sestatus

Der Standardmodus von SELinux ist in der folgenden Abbildung hervorgehoben:

Methode zum vorübergehenden Einstellen von SELinux in den Permissive-Modus auf CentOS 8

Mit dem vorübergehenden Setzen von SELinux in den Permissive-Modus meinen wir, dass dieser Modus nur für die aktuelle Sitzung aktiviert wird und SELinux, sobald Sie Ihr System neu starten, seinen Standardbetriebsmodus, d. h. den Enforcing-Modus, wieder aufnimmt. Um SELinux vorübergehend in den Permissive-Modus zu versetzen, müssen Sie den folgenden Befehl auf Ihrem CentOS 8-Terminal ausführen:

$sudosetenforce0

Indem wir den Wert des setenforce-Flags auf 0 setzen, ändern wir seinen Wert im Wesentlichen von Erzwingen in Permissive. Wenn Sie diesen Befehl ausführen, wird keine Ausgabe angezeigt, wie Sie dem unten angehängten Bild entnehmen können.

Um nun zu überprüfen, ob SELinux in CentOS 8 auf den Permissive-Modus eingestellt wurde oder nicht, führen wir den folgenden Befehl im Terminal aus:

$getenforce

Wenn Sie diesen Befehl ausführen, wird der aktuelle Modus von SELinux zurückgegeben, und dieser ist Permissive, wie in der Abbildung unten hervorgehoben. Sobald Sie Ihr System jedoch neu starten, kehrt SELinux in den Enforcing-Modus zurück.

Methode zum dauerhaften Einstellen von SELinux in den Permissive-Modus auf CentOS 8

Wir haben bereits in Methode Nr. 1 angegeben, dass SELinux nur vorübergehend in den Permissive-Modus versetzt wird, wenn Sie die obige Methode befolgen. Wenn Sie jedoch möchten, dass diese Änderungen auch nach dem Neustart Ihres Systems vorhanden sind, müssen Sie wie folgt auf die SELinux-Konfigurationsdatei zugreifen:

$sudo Nano /etc/Selinux/Konfiguration

Die Konfigurationsdatei von SELinux ist im Bild unten dargestellt:

Jetzt müssen Sie den Wert der SELinux-Variablen auf permissive setzen, wie in der folgenden Abbildung hervorgehoben. Danach können Sie Ihre Datei speichern und schließen.

Jetzt müssen Sie den Status von SELinux noch einmal überprüfen, um herauszufinden, ob der Modus auf Permissive geändert wurde oder nicht. Sie können dies tun, indem Sie den folgenden Befehl in Ihrem Terminal ausführen:

$sestatus

Sie können im hervorgehobenen Teil des unten gezeigten Bildes sehen, dass derzeit nur der Modus aus der Konfigurationsdatei in Permissive geändert wurde, während der aktuelle Modus immer noch Enforcing ist.

Damit unsere Änderungen wirksam werden, starten wir unser CentOS 8-System neu, indem wir den folgenden Befehl im Terminal ausführen:

$sudoHerunterfahren –r jetzt

Wenn Sie nach dem Neustart Ihres Systems den Status von SELinux erneut mit dem Befehl sestatus überprüfen, werden Sie feststellen, dass der aktuelle Modus ebenfalls auf Permissive gesetzt wurde.

Abschluss:

In diesem Artikel haben wir den Unterschied zwischen den Enforcing- und Permissive-Modi von SELinux kennengelernt. Dann haben wir Ihnen die beiden Methoden zum Einstellen von SELinux in den Permissive-Modus in CentOS 8 mitgeteilt. Die erste Methode dient zum vorübergehenden Ändern des Modus, während die zweite Methode zum dauerhaften Ändern des Modus in Permissive dient. Sie können je nach Ihren Anforderungen eine der beiden Methoden verwenden.