Une politique SELinux donnée peut être personnalisée en activant ou en désactivant un ensemble de booléens de politique. Les booléens permettent de modifier des parties de la politique SELinux au moment de l'exécution, sans aucune connaissance de l'écriture de la politique SELinux. Cela permet des modifications sans recharger ni recompiler la politique SELinux.
Vous pouvez afficher cette liste depuis la ligne de commande en utilisant la commande suivante :
# semanage boolean -l SELinux boolean State Default Description privoxy_connect_any (on , on) Allow privoxy to connect any smartmon_3ware (off , off) Allow smartmon to 3ware mpd_enable_homedirs (off , off) Allow mpd to enable homedirs xdm_sysadm_login (off , off) Allow xdm to sysadm login xen_use_nfs (off , off) Allow xen to use nfs ....
Dans l'exemple de liste, le xen_use_nfs Le booléen est désactivé , ce qui empêche xen d'utiliser nfs.
Utilitaires getsebool et setsebool
Affichage des booléens
Vous pouvez également utiliser la commande getsebool pour lister les booléens. Cette commande affiche les statuts mais pas de descriptions. Pour afficher tous les booléens et leurs statuts :
# getsebool -a abrt_anon_write --> off abrt_handle_event --> off abrt_upload_watch_anon_write --> on antivirus_can_scan_system --> off antivirus_use_jit --> off ....
Incluez le nom booléen comme argument pour afficher l'état d'un booléen spécifique. Plusieurs arguments booléens sont également autorisés :
# getsebool xen_use_nfs allow_ftpd_use_nfs mozilla_read_content xen_use_nfs --> off ftpd_use_nfs --> off mozilla_read_content --> off
Définir les booléens
Utilisez la commande setsebool pour configurer les booléens à partir de la ligne de commande. La syntaxe est :
# setsebool [Boolean] on|off
Par exemple, la séquence de commandes suivante affiche l'état actuel d'un booléen, puis lui permet d'autoriser le démon syslogd à envoyer du courrier, puis affiche à nouveau l'état :
# getsebool xen_use_nfs xen_use_nfs --> off
# setsebool xen_use_nfs on
# getsebool xen_use_nfs xen_use_nfs --> on
Pour rendre la modification persistante lors des redémarrages, utilisez l'option –P :
# setsebool –P xen_use_nfs on
/sys/fs/répertoire selinux
Vous pouvez également afficher et modifier la valeur des booléens dans le répertoire /sys/fs/selinux. Les fichiers booléens sont stockés dans le répertoire /sys/fs/selinux/booleans :
# ls /sys/fs/selinux/booleans abrt_anon_write mpd_use_cifs abrt_handle_event mpd_use_nfs abrt_upload_watch_anon_write mplayer_execstack antivirus_can_scan_system mysql_connect_any ...
Pour afficher la valeur d'un booléen spécifique :
# cat /sys/fs/selinux/booleans/xen_use_nfs 1 1
Une valeur de 1 indique que le booléen est activé, tandis que 0 indique qu'il est désactivé. Le premier chiffre indique la valeur actuelle du booléen. Le deuxième nombre représente la valeur en attente du booléen. Pour activer le booléen ftpd_anon_write :
# echo 1 > /sys/fs/selinux/booleans/ftpd_anon_write
Afficher le contenu du fichier :
# cat /sys/fs/selinux/booleans/ftpd_anon_write 0 1
Pour valider la nouvelle valeur :
# echo 1 > /sys/fs/selinux/commit_pending_bools
La valeur a maintenant changé :
# cat /sys/fs/selinux/booleans/ftpd_anon_write 1 1
# getsebool ftpd_anon_write ftpd_anon_write --> onComprendre les politiques SELinux sous Linux
Que sont les modes SELinux et comment les configurer