В каталоге /etc/selinux хранятся конфигурационные файлы и политики SELinux. Главный файл конфигурации - /etc/selinux/config (листинг 7.6)
Листинг 7.6. Главный файл конфигурации SELinux
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELinux=enforcing
# SELINUXTYPE= can take one of these two values:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELIHUXTYPE=targeted
Директива SELINUX может принимать три значения:
• enforcing - принудительный режим;
• permissive - режим предупреждений;
• disabled - SELinux выключена.
Теперь вы знаете, какой файл редактирует конфигуратор sys-tem-config-securitylevel.
Директива SELINUXTYPE позволяет выбрать тип защиты:
• targeted - будут защищены объекты, описанные в политике безопасности;
• strict - полная защита.
По умолчанию используется политика targeted. Файлы политики strict не установлены по умолчанию. Для их установки (если нужно) используется команда:
# yum install selinux-policy-strict
7.7.5. Управление SELinux
Для управления системой контроля доступом используется конфигуратор system-config-selinux (рис. 7.18). С помощью этого конфигуратора можно полностью настроить SELinux, но чаще всего вы будете посещать раздел Boolean, в котором задаются возможности той или иной сетевой службы - например, FTP- сервера, Web-сеpвepa, Х-сервера и т.д.
Также с помощью этого конфигуратора можно определить привилегии пользователей (User Privs) и администратора (Admin) (рис. 7.19).
Каталог /selinux - это псевдофайловая система selinuxfs, которую можно использовать как для управления SELinux, так и для получения информации о работе SELinux. Но, как правило, данный каталог используется самой системой SELinux, а для изменения параметров системы намного удобнее использовать конфигуратор system-config-selinux.
7.7.6. Режим предупреждений
Как уже было отмечено, в режиме предупреждений в файл /var
# cat /var/log/messages | audit
Рассмотрим пример типичного сообщения о запрещении доступа к объекту (это не реально сделанное предупреждение, а просто пример предупреждения):
Oct 21 16:l0:l5 dhsilabs kernel: audit(2149208252_610:29):avc: denied {read} for pid=1554 comm='bash' name='/etc/shadow' dev=hda5 ino=13671 sсontext =root:system_r:hotplug_t tcontext- root:object_r:user_home_t tclass=file
Оно означает, что 21 октября в 16:10 на машине dhsilabs процесс bash (comm) с PID (идентификатор процесса) 1554 (pid) попытался открыть для чтения (read) файл /etc/shadow (name) с номером инода 13671 (ino), yстройство, на котором находился файл, называется hda5, контекст безопасности задается как scontext. Операция чтения была запрещена (denied).
7.8. Псевдофайловая система /proc
7.8.1. Кратко о /proc
Псевдофайловая система /proc является специальным механизмом, который позволяет получать информацию о системе от самого ядра, а также передавать информацию ядру, модулям ядра и его процессам.
Файловая система /proc находится в оперативной памяти компьютера, однако вы можете обращаться к файлам и подкаталогам каталога /proc так же
В каталоге /proc есть только два типа файлов. Первый тип - это информационные файлы, позволяющие получить информацию о системе и о процессах. Данные файлы доступны только для чтения.
Второй тип файлов используется для передачи информации ядру или его модулям. Такие файлы доступны как для чтения (чтобы узнать текущие значения параметров), так и для записи (чтобы изменить это значение).
Как и в случае с обычными файлами, просмотреть информационный файл можно с помощью команды cat:
cat /proc
Изменить параметр системы можно путем записи нового значения параметра в соответствующий proc-файл:
echo
7.8.2. Некоторые информационные файлы
