2.9.2.3. Hệ thống file SELinux
Hệ thống file /selinux/ lưu các tập lệnh thường xuyên được dùng bởi nhân. Hệ thống file này tương tự với hệ thống file /proc/.
Người quản trị hệ thống và người dùng thường không phải thao tác với hệ thống file này.
Ví dụ về nội dung thư mục /selinux/:
-rw-rw-rw- 1 root root 0 Sep 22 13:14 access dr-xr-xr-x 1 root root 0 Sep 22 13:14 booleans
--w--- 1 root root 0 Sep 22 13:14 commit_pending_bools -rw-rw-rw- 1 root root 0 Sep 22 13:14 context
-rw-rw-rw- 1 root root 0 Sep 22 13:14 create --w--- 1 root root 0 Sep 22 13:14 disable -rw-r--r-- 1 root root 0 Sep 22 13:14 enforce -rw--- 1 root root 0 Sep 22 13:14 load -r--r--r-- 1 root root 0 Sep 22 13:14 mls
-r--r--r-- 1 root root 0 Sep 22 13:14 policyvers -rw-rw-rw- 1 root root 0 Sep 22 13:14 relabel -rw-rw-rw- 1 root root 0 Sep 22 13:14 user
Nếu chạy lệnh cat enforce sẽ cho kết quả là 1 nếu hệ thống đang chạy ở chế độ enforcing hoặc 0 đối với chế độ permissive.
2.9.2.3. Các file cấu hình của SELinux
Có hai cách để cấu hình SELinux trong CentOS 5: dùng Security Level Configuration Tool (system-config-selinux) hoặc sửa file cấu hình(/etc/sysconfig/selinux).
File /etc/sysconfig/selinux dùng để bật hay tắt SELinux, cũng như thiết lập chế độ kiểm soát và sử dụng chính sách nào cho hệ thống.
File /etc/sysconfig/selinux là symbolic link đến file /etc/selinux/config.
Sau đây là giải thích về các lựa chọn cấu hình:
SELINUX=enforcing|permissive|disabled — định nghĩa trạng thái của SELinux trên hệ thống.
enforcing — SELinux được bật.
permissive — SELinux chỉ đưa ra cảnh báo và ghi lại. disabled — SELinux được tắt.
SELINUXTYPE=targeted|strict — chính sách mà SELinux sử dụng. targeted — Chỉ một số ứng dụng liên quan đến mạng được bảo vệ(dhcpd, httpd, named, nscd, ntpd, portmap, snmpd, squid, and syslogd). strict — tất cả các ứng dụng đều được bảo vệ. Security context được định nghĩa cho tất cả subject và object, và tất cả các hoạt động được xử lý bởi policy enforcement server.
2.9.2.3. Các tiện ích của SELinux
/usr/sbin/setenforce — cấu hình chế độ hoạt động của SELinux trong thời gian chạy.
Ví dụ:
setenforce 1 — SELinux chạy ở chế độ enforcing. setenforce 0 — SELinux chạy ở chế độ permissive.
/usr/sbin/sestatus -v — Hiển thị trạng thái của hệ thống chạy SELinux. SELinux status: enabled
SELinuxfs mount: /selinux Current mode: enforcing
Mode from config file: enforcing Policy version: 21
Policy from config file: targeted
Process contexts:
Current context: user_u:system_r:unconfined_t:s0 Init context: system_u:system_r:init_t:s0
Tham khảo nội dung gói setools hoặc policycoreutils để xem đầy đủ các tiện ích được cung cấp.