SElinux Modes
SElinux kan op de volgende manieren worden ingesteld:
- Enforcing: Actief
- Permissive: SElinux rules die worden overtreden worden niet gestopt maar wel gelogged
- Disabled: Uit
SElinux policies:
- targeted: Biedt bescherming zoveel mogelijk processen als mogelijk met een zo min mogelijke impact op de user experience. De meeste gebruikers zouden niet van bewust moeten zijn dat SElinux draait.
- MLS: Multi-Level-Security, ondersteund meerdere lagen van security c0 tot c3 volgens een model wat ontworpen is door Department of Defense.
SElinux actief/status
Hoe SELinux is ingesteld staat in gesteld kan je zien in de file /etc/sysconfig/selinux:
$ cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
Als SElinux op enforcing staat kan je hem tijdelijk op permissive zetten zo kan je eenvoudig testen als je problemen hebt en je niet zeker weet of het aan SElinux ligt. met het commando “setenforce” kan je van enforcing naar permissive switchen.
# setenforce 0 (naar permissive) # setenforce 1 (naar enforcing)
Na een reboot word uiteraard de waarde aangenomen die in /etc/sysconfig/selinux staat. Om dus de huidige status te bekijken kan je dus het best het commando sestatus gebruiken. hier mee zie je dus ook als de status tijdelijk is aangepast.
# sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: enforcing Policy version: 24 Policy from config file: targeted
Alle SElinux overtredingen worden gelogd via de auditd service naar /var/log/audit/audit.log
Recente reacties