GNU/Linux >> Tutoriels Linux >  >> Debian

Toutes les commandes SELINUX de base que vous devez connaître

SELinux (Security Enhanced Linux) est un protocole de sécurité pour les administrateurs Linux qui leur permet d'acquérir plus de contrôle. Le protocole SELinux leur permet d'appliquer les politiques de ressources qui représentent le degré d'accès d'un programme ou d'un utilisateur. Ce SELinux est supporté par plusieurs commandes qui automatisent la tâche d'un administrateur. Dans cet article, nous fournirons l'explication et l'exécution de toutes les commandes SELinux de base qu'un utilisateur régulier peut avoir besoin de connaître.

Quelles sont les commandes de base de SELinux ?

Cette section contient les commandes les plus utilisées et les plus basiques de SELinux. Ainsi, la première étape consiste à lancer le terminal et à commencer à exécuter ces commandes.

Vérifier l'état de SELinux

Bien que le SELinux soit activé par défaut, il est recommandé de vérifier l'état pour éviter tout désagrément. Si le service est désactivé ou arrêté, il ne sera pas possible d'utiliser cet utilitaire.

– statut

La commande sestatus de SELinux fournit des informations détaillées sur l'état de SELinux. La commande écrite ci-dessous vérifiera l'état de SELinux.

Comme il ressort de la sortie que SELinux est activé.

$ sestatus

– obtenir l'application

Cette commande fournit également des informations sur l'état ; cependant, sa sortie est juste un mot et cela peut être soit applicable ou permissif . L'état par défaut est l'application qui fait référence à l'état activé et si la sortie renvoie permissif, cela signifie que le service ne fonctionne pas. Tapez la commande suivante pour vérifier son état.

Remarque : La sortie permissive montre que SELinux est activé mais pas appliqué par les règles de politique SELinux. Cependant, l'application signifie que les règles SELinux sont suivies.

$ getenforce

Modifier le statut de SELinux

Pour changer le statut de SELinux, vous pouvez exercer la commande setenforce.

Remarque : Il est à noter que la commande setenforce manipule temporairement le statut. Si vous souhaitez le faire de manière permanente, vous devez accéder au fichier de configuration de SELinux pour effectuer des modifications permanentes.

– mettre en vigueur

La commande setenforce dans SELinux accepte la valeur 0 ou 1 .Où 0 fait référence au mode permissif et 1 change le mode actuel en mode permissif.

La commande décrite ci-dessous change le statut de SELinux en mode d'application (mais temporairement).

$ sudo setenforce 1

Et vous pouvez changer le statut en Permissif à l'aide de la commande suivante.

$ sudo setenforce 0

Gérer les booléens SELinux

Les booléens associés à SELinux peuvent être gérés par deux commandes. Le getsebool La commande vous permet d'obtenir tous les booléens SELinux en une fois ou un par un. Et le setsebool La commande peut être utilisée pour définir le booléen d'un SELinux. Le getsebool La commande sous Linux peut être utilisée pour obtenir le booléen associé à SELinux.

– getebool

Pour obtenir toutes les valeurs booléennes dans SELinux, le getsebool la commande est utilisée avec -a comme indiqué ci-dessous.

Vous observerez soit sur ou désactivé valeurs :

$ getsebool -a

Cependant, vous pouvez obtenir la valeur d'un booléen spécifique en spécifiant son nom. Les commandes écrites ci-dessous obtiendront la valeur d'un booléen nommé allow_kerberos. 

$ getsebool allow_kerberos

– ensemblesebool

La commande setsebool est utilisée pour définir l'état actuel de SELinux Boolean sur une valeur donnée. Cette commande peut également être appliquée sur un ensemble de booléens SELinux.

Disons que nous obtenons l'état actuel de allow_execmod en utilisant getsebool commande.

$ getsebool allow_execmod

Et nous changeons l'état actuel désactivé à le avec l'aide de setsebool commande comme indiqué ci-dessous. 

$ sudo setsebool allow_execmod on

Ou vous pouvez remplacer off et sur mots-clés avec 0 et 1 respectivement pour changer l'état de SELinux Boolean.

Remarque : Assurez-vous d'exécuter les commandes setstatus, setsebool, semanage en utilisant les privilèges root.

Gérer la politique SELinux

Le semanage La commande fournit un support étendu pour gérer plusieurs opérations dans SELinux. Cette section contient les exemples des quelques commandes de semanage les plus utilisées.

– utilisateur semanager

Vous pouvez répertorier les utilisateurs actuels de SELinux à l'aide de la commande écrite ci-dessous.

$ sudo semanage user -l

– module de gestion de la sécurité

Les modules SELinux sont manipulés à l'aide du module semanage commande de l'outil de semanage. Tout d'abord, obtenez la liste des modules en utilisant la commande suivante.

$ sudo semanage module -l

Vous pouvez désactiver n'importe quel module en utilisant -d flag de ce module de semanage. Pour ce faire, vous devez suivre la syntaxe mentionnée ici :

$ semanage module -d <module-name>

Pour l'activer à nouveau, le -e comme indiqué ci-dessous.

$ semanage module -e <module-name>

– port de gestion de la sécurité

Pour obtenir la liste des ports de SELinux, la commande semanage est utilisée comme indiqué ci-dessous. La sortie contient trois colonnes, la première affiche le type de port, la deuxième colonne indique le protocole suivi par chaque port et la dernière colonne représente les numéros de port.

$ sudo semanage port -l

Vous pouvez également créer un nouveau port. Par exemple, la commande mentionnée ci-dessous ajoute un nouveau port avec les valeurs suivantes.

  • le type de port est représenté par t dans la commande et se voit attribuer une valeur http_port_t
  • Le -p l'indicateur utilisé ici représente le protocole et est défini sur tcp
  • Et à la fin, le numéro de port est spécifié et est défini sur 2222.

Alors que le -a L'indicateur est utilisé ici pour ordonner à la commande d'ajouter un nouveau port.

$ sudo semanage port -a -t http_port_t -p tcp 2222

Conseil bonus

Ici, nous avons une astuce bonus pour vous qui vous aidera sûrement si vous utilisez régulièrement SELinux. Alors, allons-y,

Modifier le statut de SELinux de façon permanente

Au cas où, si vous voulez changer le statut de SELinux de façon permanente, vous devez accéder au fichier de configuration de SELinux qui est placé dans /etc/selinux/config. La commande écrite ci-dessous ouvre le fichier dans l'éditeur nano.

$ sudo nano /etc/selinux/config

Lorsque le fichier est ouvert, vous observerez une ligne <SELINUX=permissive> ; vous devez changer la valeur et remplacer permissif avec désactivé ou appliquer (quel que soit l'état que vous voulez). Après avoir effectué le changement, appuyez sur "Ctrl+S » pour enregistrer les modifications et sortir du fichier en appuyant sur « Ctrl+X ".

Pour appliquer les modifications, vous devez redémarrer votre système. Après le redémarrage, le statut sera activé comme prévu.

Conclusion

SELinux dispose d'une longue liste de commandes qui facilitent la manière dont les utilisateurs contrôlent l'accessibilité de plusieurs applications/utilisateurs. Cet article répertorie les commandes SELinux les plus importantes que vous devez connaître. Les commandes écrites ici peuvent être utilisées à plusieurs fins liées à SELinux. De la vérification/modification de l'état de SELinux à la manipulation des paramètres de configuration.


Debian

  1. Tout ce que vous devez savoir sur MySQL

  2. Tout ce que vous devez savoir sur MySQL

  3. 10 commandes Linux de base que vous devez connaître

  4. Commandes Linux de base

  5. Comprendre les commandes Linux de base

Déclarations Bash If-Else - Tout ce que vous devez savoir sur

Tout ce que vous devez savoir sur la commande Linux Chmod

100 commandes Vim utiles dont vous aurez besoin chaque jour

20 principales commandes Linux dont vous aurez besoin quotidiennement

Top 50+ des commandes Linux que vous DEVEZ connaître

Commandes Linux que tous les utilisateurs doivent connaître {Liste ultime}