Phenquestions
In dem heutigen Artikel möchten wir Ihnen die Methoden zum Einstellen von SELinux in den „Permissive“-Modus vorstellen, nachdem wir Sie durch die wichtigen Details geführt haben.
Was ist SELinux Permissive Mode??
Der „Permissive“-Modus ist auch einer der drei Modi, in denen SELinux arbeitet, d.h.e., „Erzwingen“, „Zulässig“ und „Deaktiviert“. Dies sind die drei bestimmten Kategorien von SELinux-Modi, während wir allgemein sagen können, dass SELinux in jedem Fall entweder "aktiviert" oder "deaktiviert" ist. Die Modi „Enforcing“ und „Permissive“ fallen beide in die Kategorie „Enabled“. Mit anderen Worten bedeutet dies, dass SELinux immer dann, wenn es aktiviert ist, entweder im „Enforcing“-Modus oder im „Permissive“-Modus betrieben wird.
Aus diesem Grund werden die meisten Benutzer zwischen den Modi „Enforcing“ und „Permissive“ verwechselt, da beide schließlich unter die Kategorie „Enabled“ fallen. Wir möchten die beiden klar voneinander unterscheiden, indem wir zunächst ihren Zweck definieren und dann an einem Beispiel abbilden. Der Modus „Erzwingen“ funktioniert, indem alle Regeln implementiert werden, die in der SELinux-Sicherheitsrichtlinie angegeben sind. Es blockiert den Zugriff aller Benutzer, denen der Zugriff auf ein bestimmtes Objekt in der Sicherheitsrichtlinie nicht gestattet ist. Darüber hinaus wird diese Aktivität auch in der SELinux-Logdatei protokolliert.
Andererseits blockiert der „Permissive“-Modus nicht den unerwünschten Zugriff, sondern zeichnet alle derartigen Aktivitäten einfach in der Protokolldatei auf. Daher wird dieser Modus hauptsächlich zum Verfolgen von Fehlern, zum Auditieren und zum Hinzufügen neuer Sicherheitsrichtlinienregeln verwendet. Betrachten Sie nun ein Beispiel für einen Benutzer „A“, der auf ein Verzeichnis namens „ABC“ zugreifen möchte. In der SELinux-Sicherheitsrichtlinie wird erwähnt, dass dem Benutzer „A“ immer der Zugriff auf das Verzeichnis „ABC“ verweigert wird.
Wenn Ihr SELinux nun aktiviert ist und im „Enforcing“-Modus arbeitet, wird der Zugriff verweigert, wenn der Benutzer „A“ versucht, auf das Verzeichnis „ABC“ zuzugreifen, und dieses Ereignis wird in der Protokolldatei aufgezeichnet log. Wenn Ihr SELinux dagegen im „Permissive“-Modus arbeitet, dann darf der Benutzer „A“ auf das Verzeichnis „ABC“ zugreifen, aber dieses Ereignis wird dennoch in der Protokolldatei aufgezeichnet, damit ein Administrator kann wissen, wo die Sicherheitsverletzung aufgetreten ist.
Methoden zum Einstellen von SELinux in den Permissive-Modus auf CentOS 8
Wenn wir nun den Zweck des „Permissive“-Modus von SELinux vollständig verstanden haben, können wir leicht über die Methoden zum Einstellen von SELinux in den „Permissive“-Modus unter CentOS 8 sprechen. Bevor Sie jedoch mit diesen Methoden fortfahren, ist es immer gut, den Standardstatus von SELinux zu überprüfen, indem Sie den folgenden Befehl in Ihrem Terminal ausführen:
$ sestatus
Der Standardmodus von SELinux ist in der folgenden Abbildung hervorgehoben:
Methode zum vorübergehenden Einstellen von SELinux in den Permissive-Modus auf CentOS 8
Durch das vorübergehende Setzen von SELinux in den „Permissive“-Modus meinen wir, dass dieser Modus nur für die aktuelle Sitzung aktiviert wird und SELinux, sobald Sie Ihr System neu starten, seinen Standardbetriebsmodus wieder aufnimmt, d.e., der Modus „Erzwingen“. Um SELinux vorübergehend in den „Permissive“-Modus zu versetzen, müssen Sie den folgenden Befehl auf Ihrem CentOS 8-Terminal ausführen:
$ sudo setenforce 0
Indem wir den Wert des Flags „setenforce“ auf „0“ setzen, ändern wir seinen Wert im Wesentlichen von „Erzwingen“ in „Zulässig“. Wenn Sie diesen Befehl ausführen, wird keine Ausgabe angezeigt, wie Sie dem unten angehängten Bild entnehmen können.
Um nun zu überprüfen, ob SELinux in CentOS 8 auf den „Permissive“-Modus gesetzt wurde oder nicht, führen wir den folgenden Befehl im Terminal aus:
$ getenforce
Wenn Sie diesen Befehl ausführen, wird der aktuelle Modus von SELinux zurückgegeben und dieser ist „permissiv“, wie in der Abbildung unten hervorgehoben highlighted. Sobald Sie Ihr System jedoch neu starten, kehrt SELinux in den Modus „Erzwingen“ zurück.
Methode zum dauerhaften Einstellen von SELinux in den Permissive-Modus auf CentOS 8
Wir haben bereits in Methode Nr. 1 angegeben, dass SELinux nur vorübergehend in den "permissiven" Modus versetzt wird, wenn Sie die obige Methode befolgen. Wenn Sie jedoch möchten, dass diese Änderungen auch nach dem Neustart Ihres Systems vorhanden sind, müssen Sie wie folgt auf die SELinux-Konfigurationsdatei zugreifen:
$ sudo nano /etc/selinux/config
Die Konfigurationsdatei von SELinux ist im Bild unten dargestellt:
Jetzt müssen Sie den Wert der Variablen „SELinux“ auf „permissive“ setzen, wie in der folgenden Abbildung hervorgehoben, wonach Sie Ihre Datei speichern und schließen können.
Jetzt müssen Sie den Status von SELinux noch einmal überprüfen, um herauszufinden, ob der Modus auf "Permissive" geändert wurde oder nicht. Sie können dies tun, indem Sie den folgenden Befehl in Ihrem Terminal ausführen:
$ sestatus
Sie können aus dem hervorgehobenen Teil des unten gezeigten Bildes sehen, dass derzeit nur der Modus aus der Konfigurationsdatei auf „Permissiv“ geändert wurde, während der aktuelle Modus immer noch „Erzwingen“ ist.
Damit unsere Änderungen wirksam werden, starten wir unser CentOS 8-System neu, indem wir den folgenden Befehl im Terminal ausführen:
$ sudo shutdown -r now
Wenn Sie nach dem Neustart Ihres Systems den Status von SELinux erneut mit dem Befehl „sestatus“ überprüfen, werden Sie feststellen, dass der aktuelle Modus ebenfalls auf „Permissive“ eingestellt ist.
Fazit:
In diesem Artikel haben wir den Unterschied zwischen den Modi „Enforcing“ und „Permissive“ von SELinux kennengelernt. Dann haben wir Ihnen die beiden Methoden zum Einstellen von SELinux in den "Permissive" -Modus in CentOS 8 mitgeteilt. Die erste Methode dient zum vorübergehenden Ändern des Modus, während die zweite Methode zum dauerhaften Ändern des Modus in „Permissive“ dient. Sie können eine der beiden Methoden gemäß Ihren Anforderungen verwenden.
