Website-Suche

So aktivieren oder deaktivieren Sie boolesche SELinux-Werte

Security-Enhanced Linux (SELinux) ist ein Sicherheitsmechanismus für die obligatorische Zugriffskontrolle (MAC), der im Linux-Kernel implementiert ist. Es handelt sich um einen flexiblen Vorgang, der die allgemeine Systemsicherheit erhöhen soll: Er ermöglicht Zugriffskontrollen, die mithilfe einer auf dem System geladenen Richtlinie vorgenommen werden, die von normalen Benutzern oder sich schlecht verhaltenden Programmen nicht geändert werden darf.

Im folgenden Artikel wird SELinux anschaulich erläutert und wie Sie es in Ihrem Linux-System implementieren.

  1. Implementierung der obligatorischen Zugriffskontrolle mit SELinux oder AppArmor unter Linux

In diesem Artikel zeigen wir Ihnen, wie Sie boolesche SELinux-Werte in CentOS-, RHEL- und Fedora-Linux-Distributionen aktivieren oder deaktivieren.

Um alle booleschen Werte von SELinux anzuzeigen, verwenden Sie den Befehl getsebool zusammen mit dem Befehl less.

Hinweis: SELinux muss sich im aktivierten Zustand befinden, um alle booleschen Werte aufzulisten.

getsebool -a | less

Um alle booleschen Werte für ein bestimmtes Programm (oder einen Daemon) anzuzeigen, verwenden Sie das Dienstprogramm grep. Der folgende Befehl zeigt Ihnen alle httpd-Booleschen Werte an.

getsebool -a | grep httpd

Um (1) oder (0) SELinux-Boolesche Werte zu aktivieren, können Sie das setsebool-Programm wie unten beschrieben verwenden.

Aktivieren oder deaktivieren Sie boolesche SELinux-Werte

Wenn auf Ihrem System ein Webserver installiert ist, können Sie HTTPD-Skripten erlauben, Dateien in Verzeichnisse mit der Bezeichnung public_content_rw_t zu schreiben, indem Sie den booleschen Wert allow_httpd_sys_script_anon_write aktivieren.

getsebool allow_httpd_sys_script_anon_write 
setsebool allow_httpd_sys_script_anon_write on
OR
setsebool allow_httpd_sys_script_anon_write 1

Führen Sie in ähnlicher Weise den folgenden Befehl aus, um den booleschen Wert von SELinux zu deaktivieren oder auszuschalten.

setsebool allow_httpd_sys_script_anon_write off
setsebool allow_mount_anyfile off
OR
setsebool allow_httpd_sys_script_anon_write  0
setsebool allow_mount_anyfile  0

Die Bedeutung aller SELinux-Booleans finden Sie unter https://wiki.centos.org/TipsAndTricks/SelinuxBooleans

Vergessen Sie nicht, die folgenden sicherheitsrelevanten Artikel zu lesen.

  1. So deaktivieren Sie SELinux vorübergehend oder dauerhaft in RHEL/CentOS
  2. Obligatorische Grundlagen der Zugriffskontrolle mit SELinux
  3. Der Mega-Leitfaden zum Härten und Sichern von CentOS 7

In diesem Artikel haben wir erklärt, wie Sie boolesche SELinux-Werte in CentOS-, RHEL- und Fedora-Distributionen aktivieren oder deaktivieren. Wenn Sie Fragen haben, stellen Sie diese bitte über den Kommentar unten.