LabEx
AnmeldenKostenlos beitreten

So überprüfen Sie, ob SELinux in Linux aktiviert ist

LinuxLinuxBeginner
Jetzt üben

💡 Dieser Artikel wurde von AI-Assistenten übersetzt. Um die englische Version anzuzeigen, können Sie hier klicken

Einführung

In diesem Lab lernen Sie, wie Sie den Status und die Konfiguration von SELinux auf einem Linux-System überprüfen können. SELinux ist ein wichtiges Sicherheitsmechanismus, das eine verpflichtende Zugriffskontrolle (mandatory access control) bietet.

Sie verwenden den Befehl sestatus, um eine Zusammenfassung des aktuellen SELinux-Zustands zu erhalten, untersuchen die SELinux-Konfigurationsdatei /etc/selinux/config, um die Standardeinstellungen zu verstehen, und nutzen den Befehl getenforce, um schnell den aktuellen Betriebsmodus zu überprüfen. Durch die Ausführung dieser Schritte werden Sie ein grundlegendes Verständnis dafür erlangen, wie Sie feststellen können, ob SELinux aktiviert ist und wie es auf Ihrem System konfiguriert ist.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicSystemCommandsGroup(["Basic System Commands"]) linux(("Linux")) -.-> linux/BasicFileOperationsGroup(["Basic File Operations"]) linux/BasicSystemCommandsGroup -.-> linux/echo("Text Display") linux/BasicFileOperationsGroup -.-> linux/cat("File Concatenating") subgraph Lab Skills linux/echo -.-> lab-558802{{"So überprüfen Sie, ob SELinux in Linux aktiviert ist"}} linux/cat -.-> lab-558802{{"So überprüfen Sie, ob SELinux in Linux aktiviert ist"}} end

Überprüfen des SELinux-Status mit sestatus

In diesem Schritt lernen Sie, wie Sie den Status von SELinux auf Ihrem System überprüfen können. SELinux (Security-Enhanced Linux) ist ein Sicherheitsmechanismus, der eine verpflichtende Zugriffskontrolle (mandatory access control, MAC) für Prozesse und Ressourcen bietet. Es fügt eine zusätzliche Sicherheitsstufe über der herkömmlichen diskretionären Zugriffskontrolle (discretionary access control, DAC) hinzu.

Um den aktuellen Status von SELinux zu überprüfen, verwenden wir den Befehl sestatus. Dieser Befehl liefert eine Zusammenfassung der SELinux-Konfiguration und ihres aktuellen Zustands.

Öffnen Sie Ihr Terminal, wenn es noch nicht geöffnet ist. Sie können dies tun, indem Sie auf das Symbol Xfce Terminal auf der linken Seite Ihres Desktops klicken.

Geben Sie jetzt den folgenden Befehl in das Terminal ein und drücken Sie die Eingabetaste:

sestatus

Sie sollten eine Ausgabe ähnlich der folgenden sehen:

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 ...
Policy load time:               ...

Lassen Sie uns die wichtigen Teile der Ausgabe analysieren:

  • SELinux status: Gibt an, ob SELinux auf dem System aktiviert oder deaktiviert ist.
  • Current mode: Zeigt den aktuellen Betriebsmodus von SELinux an. Häufige Modi sind enforcing, permissive und disabled.
  • Mode from config file: Zeigt den Modus an, der in der SELinux-Konfigurationsdatei (/etc/selinux/config) festgelegt ist.

In dieser Ausgabe bedeutet SELinux status: enabled, dass SELinux aktiv ist, und Current mode: enforcing bedeutet, dass SELinux seine Sicherheitsrichtlinien aktiv durchsetzt.

Das Verständnis des SELinux-Status ist der erste Schritt bei der Verwaltung seines Verhaltens.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Überprüfen der SELinux-Konfiguration mit cat /etc/selinux/config

Im vorherigen Schritt haben Sie den aktuellen Status von SELinux mit sestatus überprüft. Jetzt schauen wir uns die Konfigurationsdatei an, die das Standardverhalten von SELinux festlegt.

Die Hauptkonfigurationsdatei für SELinux befindet sich unter /etc/selinux/config. Wir können den Inhalt dieser Datei mit dem Befehl cat anzeigen. Der cat-Befehl wird verwendet, um den Inhalt von Dateien anzuzeigen.

Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:

cat /etc/selinux/config

Sie sollten eine Ausgabe ähnlich der folgenden sehen:

## This file controls the state of SELinux on the system.
## SELINUX= can take one of these three values:
##     enforcing - SELinux security policy is enforced.
##     permissive - SELinux prints warnings instead of enforcing.
##     disabled - No SELinux policy is loaded.
SELINUX=enforcing
## SELINUXTYPE= can take one of these three values:
##     targeted - Targeted processes are protected,
##               for more information see selinux-policy-targeted(8)
##     strict - Full SELinux protection, see selinux-policy(8)
##     mls - Multi-Level Security protection.
SELINUXTYPE=targeted

In dieser Datei konfigurieren Sie den Standard-SELinux-Modus (SELINUX=) und den Richtlinientyp (SELINUXTYPE=).

  • SELINUX=enforcing: Diese Zeile gibt an, dass das System standardmäßig im enforcing-Modus gestartet wird.
  • SELINUXTYPE=targeted: Diese Zeile gibt an, dass die targeted-Richtlinie verwendet wird. Die targeted-Richtlinie ist die am häufigsten verwendete und schützt bestimmte Systemprozesse.

Die Einstellungen in dieser Datei werden normalerweise beim Systemstart angewendet. Obwohl Sie den aktuellen Modus vorübergehend ändern können (was wir im nächsten Schritt sehen werden), erfordern Änderungen an /etc/selinux/config einen Neustart des Systems, um voll wirksam zu werden.

Das Verständnis der Konfigurationsdatei hilft Ihnen, den beabsichtigten SELinux-Zustand für das System zu verstehen.

Klicken Sie auf Weiter, um fortzufahren.

Überprüfen des SELinux-Modus mit getenforce

In den vorherigen Schritten haben Sie sestatus verwendet, um einen detaillierten Überblick über SELinux zu erhalten, und cat /etc/selinux/config, um die Standardkonfiguration zu sehen. Jetzt verwenden wir einen einfacheren Befehl, getenforce, um schnell den aktuellen SELinux-Modus zu überprüfen.

Der Befehl getenforce ist speziell dafür ausgelegt, nur den aktuellen Betriebsmodus von SELinux auszugeben. Dies ist nützlich für eine schnelle Überprüfung, ohne dass die vollständige Ausgabe von sestatus benötigt wird.

Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:

getenforce

Sie sollten eine Ausgabe ähnlich der folgenden sehen:

Enforcing

Die Ausgabe wird einer der folgenden sein:

  • Enforcing: SELinux ist aktiv und setzt seine Richtlinien durch. Jede Aktion, die eine Richtlinie verletzt, wird blockiert.
  • Permissive: SELinux ist aktiv, setzt aber keine Richtlinien durch. Es protokolliert Warnungen über Aktionen, die im enforcing-Modus blockiert worden wären, lässt sie aber dennoch durchführen. Dieser Modus ist nützlich für Tests und die Fehlerbehebung.
  • Disabled: SELinux ist nicht aktiv und keine Richtlinien sind geladen.

In diesem Fall bestätigt die Ausgabe Enforcing, dass SELinux derzeit im enforcing-Modus läuft, was mit dem übereinstimmt, was wir mit dem sestatus-Befehl gesehen haben.

Der getenforce-Befehl ist ein praktisches Werkzeug für eine schnelle Überprüfung des SELinux-Status.

Klicken Sie auf Weiter, um dieses Lab abzuschließen.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie den Status von SELinux auf einem Linux-System überprüfen können. Sie haben den Befehl sestatus verwendet, um eine Zusammenfassung der SELinux-Konfiguration zu erhalten, einschließlich der Information, ob SELinux aktiviert ist, welchen Betriebsmodus (enforcing, permissive oder disabled) es derzeit hat und welchen Modus in der Konfigurationsdatei festgelegt ist.

Sie haben auch gelernt, wie Sie die SELinux-Konfiguration überprüfen können, indem Sie die Datei /etc/selinux/config mit dem Befehl cat untersuchen. Diese Datei zeigt den Standard-SELinux-Modus an, der beim Systemstart angewendet wird. Schließlich haben Sie den Befehl getenforce verwendet, um schnell den aktuellen SELinux-Modus zu überprüfen. Diese Schritte bieten wesentliche Methoden, um den aktuellen Zustand und die Konfiguration von SELinux zu verstehen.

Verwandt Linux Kurse
Schnellstart mit Linux

Schnellstart mit Linux

LinuxShell
Anfänger
Linux für Anfänger

Linux für Anfänger

LinuxShell
Fortgeschritten
Üben Sie Linux-Befehle

Üben Sie Linux-Befehle

LinuxShell
Anfänger