1.Чтобы перевести систему в разрешительный режим для SELinux, введите setenforce в командной строке. Также можно ввести команду setenforce 0.
2.Соблюдайте осторожность при переводе системы SELinux в принудительный режим без изменения основного файла конфигурации SELinux. Лучше всего не запускать эту команду в системе для выполнения упражнения, пока не начнете использовать SELinux. Введите команду setenforce enforcing в командной строке. Можно также ввести команду setenforce 1.
3.Чтобы найти и просмотреть постоянную политику SELinux (задается во время загрузки), перейдите в основной файл конфигурации SELinux — /etc/selinux/config. Чтобы просмотреть его, введите cat/etc/selinux | config / grep SELINUX= в командной строке. Чтобы узнать, как он установлен в данный момент, введите команду getenforce.
4.Чтобы перечислить контекст безопасности файла /etc/hosts и определить различные атрибуты контекста безопасности, введите ls -Z /etc/hosts в командной строке:
$ ls -Z /etc/hosts
-rw-r--r--. root root system_u:object_r:net_conf_t:s0 /etc/hosts
а) пользовательский контекст файла — это system_u, он указывает на системный файл;
б) роль файла — это object_r, указывающая на объект в файловой системе
(в данном случае текстовый файл);
в) тип файла — это net_conf_t , поскольку он является файлом конфигурации сети;
г) уровень чувствительности файла равен s0, что указывает на самый низкий уровень безопасности (это может быть номер от s0 до s3);
д) уровень категории файла начинается с c и заканчивается числом. Он может относиться к диапазону чисел c0-c102. Это действие требуется только в высокозащищенных средах и в данном случае не используется.
Чтобы создать файл test.html и назначить ему тип httpd_sys_content_t , введите следующее:
$ touch test.html
$ chcon -t httpd_sys_content_t test.html
$ ls -Z test.html
-rw-rw-r--. chris chris unconfined_u:object_r:httpd_sys_content_t:s0 test.html
6. Чтобы перечислить контекст безопасности процесса crond и определить его атрибуты, введите в командной строке:
$ ps -efZ | grep crond
system_u:system_r:crond_t:s0-s0:c0.c1023 root 665
1
0
Sep18 ?
00:00:00 /usr/sbin/crond -n
7.а) пользовательский контекст процесса — это system_u, указывающий на системный процесс;
б) роль процесса — system_r, что указывает на системную роль;
в) тип или домен процесса — это crond_t;
г) уровень чувствительности процесса начинается с s0-s0, это указывает на то, что процесс нечувствителен (однако он безопасен по обычным стандартам Linux, поскольку запускается от имени суперпользователя);
д) уровень категории процесса — это c0.c1023, где с 0 указывает на то, что категория также не очень безопасна с точки зрения системы SELinux.
Чтобы создать файл /etc/test.txt, измените его контекст на user_tmp_t, восстановите правильное содержимое (контекст по умолчанию для каталога /etc) и удалите файл:
# touch /etc/test.txt
# ls -Z /etc/test.txt
-rw-r--r--. root root unconfined_u:object_r:etc_t:s0
/etc/test.txt
# chcon -t user_tmp_t /etc/test.txt
# ls -Z /etc/test.txt
-rw-r--r--. root root unconfined_u:object_r:user_tmp_t:s0 /etc/test.txt
# restorecon /etc/test.txt
# ls -Z /etc/test.txt
-rw-r--r--. root root unconfined_u:object_r:etc_t:s0
# rm /etc/test.txt
rm: remove regular empty file `/etc/test.txt'? y
/etc/test.txt
8.Чтобы определить, какие логические типы разрешают анонимную запись и доступ к домашнему каталогу службы tftp, а затем включить эти логические типы навсегда, введите следующие команды:
# getsebool -a | grep tftp
tftp_home_dir --> off
tftpd_anon_write --> off
...
# setsebool -P tftp_home_dir=on
# setsebool -P tftp_anon_write=on
# getsebool tftp_home_dir tftp_anon_write
tftp_home_dir --> on
tftp_anon_write --> on
9.Чтобы перечислить все модули политики SELinux в своей системе вместе с их номерами версий, введите команду semodule –l.
*Базовые методы обеспечения безопасности*
*Продвинутые методы обеспечения безопасности*