LabEx
ВходРегистрация

Диагностика и устранение нарушений политик SELinux

Red Hat Enterprise LinuxBeginner
Практиковаться сейчас

Введение

Как системный администратор, вы отвечаете за поддержание безопасности вашей системы Linux. Ключевой частью этой работы является управление SELinux (Security-Enhanced Linux) — механизмом принудительного управления доступом, который обеспечивает соблюдение политик безопасности. Когда процесс пытается выполнить действие, нарушающее политику, SELinux блокирует это действие и записывает отказ в кэш векторов доступа (AVC). В этом испытании вы научитесь диагностировать и устранять распространенное нарушение политики SELinux с помощью стандартных инструментов RHEL, что является критически важным навыком для экзамена RHCSA.

Диагностика и устранение нарушений политик SELinux

Сценарий

Веб-сервер в вашей системе должен предоставлять контент из домашних директорий пользователей (например, из каталога ~/public_html). Однако пользователи сообщают, что их веб-страницы недоступны и выдают ошибку "Forbidden" (Доступ запрещен). Вы подозреваете, что проблема связана с SELinux. Ваша задача — изучить логи SELinux, выявить нарушение политики и применить правильное исправление, чтобы веб-сервер мог работать должным образом.

Задачи

  • Изучить системные логи аудита, чтобы найти недавние отказы SELinux AVC.
  • Проанализировать сообщение об отказе, чтобы понять, какое действие было заблокировано и какой переключатель (boolean) SELinux может решить проблему.
  • Изменить соответствующий переключатель SELinux, чтобы разрешить веб-серверу доступ к домашним директориям пользователей.
  • Убедиться, что изменение политики является постоянным и сохранится после перезагрузки системы.

Требования

  • Все команды должны выполняться от имени пользователя labex. Используйте sudo там, где требуются права администратора.
  • Переключатель SELinux, который необходимо изменить: httpd_enable_homedirs.
  • Изменение должно быть постоянным.

Подсказки

  • Используйте команду ausearch для запроса логов аудита. Опция -m avc фильтрует сообщения AVC.
  • Внимательно изучите вывод ausearch. Часто он содержит рекомендации от setroubleshoot о том, как устранить отказ.
  • Команда setsebool используется для изменения значения переключателя SELinux. Используйте флаг -P, чтобы сделать изменение постоянным.
  • Проверить текущее значение переключателя можно с помощью команды getsebool.
✨ Проверить решение и практиковаться

Резюме

В этом испытании вы научились диагностировать и устранять типичные нарушения политик SELinux. Вы попрактиковались в использовании ausearch для проверки логов аудита на наличие отказов AVC, интерпретации вывода для поиска первопричины и использовании setsebool -P для применения постоянных изменений политики. Освоение этого рабочего процесса необходимо для управления безопасностью системы в RHEL и является фундаментальным навыком, проверяемым на экзамене RHCSA.

Связанные Red Hat Enterprise Linux Курсы
Лабораторные работы по системному администрированию Red Hat (RH124)

Лабораторные работы по системному администрированию Red Hat (RH124)

rhellinux
Лабораторные работы по администрированию систем Red Hat (RH134)

Лабораторные работы по администрированию систем Red Hat (RH134)

rhellinux
Автоматизация Red Hat Enterprise Linux с помощью Ansible (RH294) Лабораторные работы

Автоматизация Red Hat Enterprise Linux с помощью Ansible (RH294) Лабораторные работы

rhelansiblelinux