Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- Dateien in Bezug auf SELinux

21.2. Dateien in Bezug auf SELinux

Der folgende Abschnitt beschreibt SELinux Konfigurationsdateien und in Bezug stehende Dateisysteme.

21.2.1. Das /selinux/ Pseudo-Dateisystem

Das /selinux/ Pseudo-Dateisystem beinhaltet Befehle, welche am h�ufigsten vom Kernel-Subsystem gebraucht werden. Diese Art von Dateisystem ist �hnlich dem /proc/ Pseudo-Dateisystem.

In den meisten F�llen muss diese Komponente im Vergleich zu anderen SELinux-Dateien und Verzeichnissen nicht von Administratoren oder Benutzern manipuliert werden.

Das folgende Beispiel zeigt Musterinhalte im Verzeichnis /selinux/:

-rw-rw-rw-  1 root root 0 Sep 22 13:14 access
dr-xr-xr-x  1 root root 0 Sep 22 13:14 booleans
--w-------  1 root root 0 Sep 22 13:14 commit_pending_bools
-rw-rw-rw-  1 root root 0 Sep 22 13:14 context
-rw-rw-rw-  1 root root 0 Sep 22 13:14 create
--w-------  1 root root 0 Sep 22 13:14 disable
-rw-r--r--  1 root root 0 Sep 22 13:14 enforce
-rw-------  1 root root 0 Sep 22 13:14 load
-r--r--r--  1 root root 0 Sep 22 13:14 mls
-r--r--r--  1 root root 0 Sep 22 13:14 policyvers
-rw-rw-rw-  1 root root 0 Sep 22 13:14 relabel
-rw-rw-rw-  1 root root 0 Sep 22 13:14 user

Zum Beispiel das Ausf�hren des Befehls cat auf der Datei enforce legt entweder eine 1 f�r den Enforcing Mode oder 0 f�r den Permissive Mode offen.

21.2.2. SELinux Konfigurationsdateien

Die folgenden Abschnitte beschreiben SELinux Konfigurations- und Policy-Dateien und verwandte Dateisysteme im Verzeichnis /etc/.

21.2.2.1. Die /etc/sysconfig/selinux Konfigurationsdatei

Es gibt 2 Arten SELinux unter Red Hat Enterprise Linux zu konfigurieren: mit Hilfe des Security Level Configuration Tool (system-config-securitylevel) oder manuell durch Bearbeiten der Konfigurationsdatei (/etc/sysconfig/selinux).

Die /etc/sysconfig/selinux Datei ist die prim�re Konfigurationsdatei zum Aktivieren oder Deaktivieren von SELinux sowie auch zum Festlegen der jeweiligen Policy, die auf dem System durchgef�hrt werden soll und zum Festlegen der Art und Weise, wie dies geschehen soll.

AnmerkungHinweis
 

/etc/sysconfig/selinux beinhaltet einen symbolischen Link zur eigentlichen Konfigurationsdatei /etc/selinux/config.

Im folgenden wird das vollst�ndige Subset an Optionen, die zur Konfiguration erh�ltlich sind, beschrieben:

  • SELINUX=<enforcing|permissive|disabled> — Definiert den Top-Level Status von SELinux auf einem System.

    • enforcing — Die SELinux Security Policy enth�lt den Sicherheitsmodus "Enforcing".

    • Permissive — Das SELinux System gibt Warnungen aus, gew�hrt jedoch alle Zugriffe. Dies ist n�tzlich zu Debugging- und Troubleshooting-Zwecken. Im Permissive Mode, werden mehr Verst��e protokolliert, da Subjekte mit deren Zugriffen fortfahren k�nnen, wobei diese Zugriffe im Enforcing Mode verweigert werden w�rden. Zum Beispiel die Traversierung eines Verzeichnisbaums bewirkt mehrfache avc: denied-Mitteilungen f�r jede der gelesenen Verzeichnisstufen, wobei ein Kernel im Enforcing Mode die urspr�ngliche Traversierung verweigert h�tte und dadurch das Entstehen weiterer avc: denied-Mitteilungen verhindert h�tte.

    • disabled — SELinux ist v�llig deaktiviert. SELinux Hooks sind freigemacht vom Kernel und das Pseudo-Dateisystem ist unregistriert.

      TippTipp
       

      S�mtliche durchgef�hrten Aktivit�ten, w�hrend SELinux deaktiviert ist, k�nnen zur Folge haben, dass das Dateisystem nicht mehr l�nger den angemessenen, wie durch die Policy festgelegten Security Context besitzt. Wenn Sie vor dem Aktivieren den Befehl fixfiles relabel ausf�hren, so relabelt SELinux das Dateisystem, sodass das aktivierte SELinux einwandfrei arbeitet. F�r weitere Informationen dazu, verweisen wir auf die fixfiles(8) man-Seite.

    AnmerkungHinweis
     

    Zus�tzliche wei�e Leerstellen am Ende der Konfigurationszeile oder als Extra-Zeilen am Ende der Datei, k�nnen ein unerwartetes Verhalten hervorrufen. Um sicher zu gehen, schlagen wir vor, unn�tige wei�e Leerstellen zu entfernen.

  • SELINUXTYPE=<targeted|strict> — Legt fest, welche Policy von SELinux gegenw�rtig durchgesetzt wird.

    • targeted — Nur Targeted Netzwerk-Daemons werden gesch�tzt.

      WichtigWichtig
       

      Folgende Deamons werden in der Standard-Targeted-Policy gesch�tzt: dhcpd, httpd (apache.te), named, nscd, ntpd, portmap, snmpd, squid und syslogd. Das restliche System l�uft in der unconfined_t Dom�ne ab.

      Die Policy-Dateien f�r diese Daemons k�nnen in /etc/selinux/targeted/src/policy/domains/program gefunden werden. �nderungen werden vorbehalten, sobald neuere Versionen von Red Hat Enterprise Linux freigegeben werden.

      Policy Enforcement kann f�r diese Daemons ein- und abgeschalten werden, indem Boolesche Werte mittels Security Level Configuration Tool kontrolliert werden k�nnen. (system-config-securitylevel). Das �ndern des Booleschen Wertes (true/false = wahr/falsch) eines Daemons schaltet die regul�re Verarbeitung der Richtlinien, wie zum Beispiel init f�r die Initialisierung von dhcpd f�r die Domaenen unconfined_t bis zur definierten Domaene in dhcpd.te aus. Die Dom�ne unconfined_t erlaubt Subjekten und Objekten mit diesem Security Context unter Standard-Linux-Security zu laufen.

    • strict — Voller SELinux-Schutz f�r alle Daemons. Security contexts sind f�r alle Subjekt und Objekte festgelegt. Jeder einzelne Ablauf wird vom Policy Enforcement Server bearbeitet.

21.2.2.2. Das /etc/selinux/-Verzeichnis

Das /etc/selinux/-Verzeichnis ist der prim�re Speicherort f�r alle Policy-Dateien sowie auch der Hauptkonfigurationsdatei.

Das folgende Beispiel zeigt Musterinhalte des /etc/selinux/-Verzeichnis:

-rw-r--r--  1 root root  448 Sep 22 17:34 config
drwxr-xr-x  5 root root 4096 Sep 22 17:27 strict
drwxr-xr-x  5 root root 4096 Sep 22 17:28 targeted

Die beiden Unterverzeichnisse strict/ und targeted/ sind die spezifischen Verzeichnisse, in denen die Policy-Dateien des selben Namens (zB. strict und targeted) enthalten sind.

F�r weitere Informationen �ber SELinux-Policy und Policy-Konfiguration siehe Red Hat SELinux Policy Writing Guide.

21.2.3. SELinux-Utilities

Die folgenden sind einige der am h�ufigsten verwendeten SELinux-Utilities:

  • /usr/bin/setenforce — Modifiziert den SELinux-Modus in Echtzeit. Durch das Ausf�hren von setenforce 1, wird SELinux in den Enforcing Mode gebracht. Durch das Ausf�hren von setenforce 0, wird SELinux in den Permissive Mode gebracht. Um SELinux tats�chlich zu deaktivieren, m�ssen Sie entweder den Parameter in /etc/sysconfig/selinux setzen oder den Parameter selinux=0 an den Kernel �bergeben; entweder in /etc/grub.conf oder zur Bootzeit.

  • /usr/bin/sestatus -v — Erh�lt den detaillierten Status eines Systems, auf dem SELinux ausgef�hrt wird. Das folgende Beispiel zeigt einen Auszug aus dem sestatus-Output:

    SELinux status:         enabled
    SELinuxfs mount:        /selinux
    Current mode:           enforcing
    Policy version:         18
  • /usr/bin/newrole — F�hrt eine neue Shell in einem neuen Context oder einer neuen Rolle aus. Policy muss den Rollenwechsel erlauben.

  • /sbin/restorecon — Legt den Security Context von einer oder mehreren Dateien fest, indem die erweitereten Attribute mit der entsprechenden Datei oder dem entsprechenden Security Context gekennzeichnet werden.

  • /sbin/fixfiles — �berpr�ft oder korrigiert die Security Context Datenbank auf dem Dateisystem.

F�r weitere Informationen verweisen wir auf die man-Seiten zu diesen Hilfsprogrammen.

F�r weitere Informationen zu allen bin�ren Utilities siehe die setools- oder policycoreutils-Paketinhalte, indem Sie rpm -ql <package-name> ausf�hren, wobei <package-name> der Name des spezifischen Paketes ist.

 
 
  Published under the terms of the GNU General Public License Design by Interspire