Como ativar ou desativar valores booleanos do SELinux
Linux com segurança aprimorada (SELinux) é um mecanismo de segurança para controle de acesso obrigatório (MAC) implementado no kernel do Linux. É uma operação flexível concebida para aumentar a segurança geral do sistema: permite controlos de acesso impostos através de uma política carregada no sistema que não pode ser alterada por utilizadores normais ou programas mal comportados.
O artigo a seguir explica claramente sobre o SELinux e como implementá-lo em seu sistema Linux.
- Implementando controle de acesso obrigatório com SELinux ou AppArmor no Linux
Neste artigo, mostraremos como ativar ou desativar os valores booleanos do SELinux nas distribuições CentOS, RHEL e Fedora Linux.
Para visualizar todos os booleanos do SELinux, use o comando getsebool junto com o comando less.
Nota: o SELinux deve estar no estado habilitado para listar todos os booleanos.
getsebool -a | less
Para visualizar todos os valores booleanos de um programa específico (ou daemon), use o utilitário grep. O comando a seguir mostra todos os booleanos httpd.
getsebool -a | grep httpd
Para ativar (1)
ou desativar (0)
booleanos SELinux, você pode usar o programa setsebool conforme descrito abaixo.
Habilitar ou desabilitar valores booleanos SELinux
Se você tiver um servidor web instalado em seu sistema, você pode permitir que scripts HTTPD gravem arquivos em diretórios rotulados como public_content_rw_t
ativando o booleano allow_httpd_sys_script_anon_write
.
getsebool allow_httpd_sys_script_anon_write
setsebool allow_httpd_sys_script_anon_write on
OR
setsebool allow_httpd_sys_script_anon_write 1
Da mesma forma, para desabilitar ou desligar o valor booleano SELinux acima, execute o seguinte comando.
setsebool allow_httpd_sys_script_anon_write off
setsebool allow_mount_anyfile off
OR
setsebool allow_httpd_sys_script_anon_write 0
setsebool allow_mount_anyfile 0
Você pode encontrar o significado de todos os booleanos do SELinux em https://wiki.centos.org/TipsAndTricks/SelinuxBooleans
Não se esqueça de ler os seguintes artigos relacionados à segurança.
- Como desabilitar o SELinux temporária ou permanentemente no RHEL/CentOS
- Fundamentos obrigatórios de controle de acesso com SELinux
- O mega guia para fortalecer e proteger o CentOS 7
Neste artigo, explicamos como habilitar ou desabilitar valores booleanos SELinux em distribuições CentOS, RHEL e Fedora. Se você tiver alguma dúvida, pergunte através do comentário abaixo.