SELinux(Security Enhanced Linux)は、Linux管理者がより多くの制御を取得できるようにするためのセキュリティプロトコルです。 SELinuxプロトコルを使用すると、プログラムまたは任意のユーザーが持つアクセスの量を表すリソースポリシーを適用できます。このSELinuxは、管理者のタスクを自動化するいくつかのコマンドによってサポートされています。この記事では、通常のユーザーが知っておく必要のあるすべての基本的なSELinuxコマンドの説明と実行について説明します。
SELinuxの基本的なコマンドは何ですか?
このセクションには、SELinuxで最もよく使用される基本的なコマンドが含まれています。したがって、主要なステップは、端末を起動してこれらのコマンドの実行を開始することです。
SELinuxのステータスを確認する
SELinuxはデフォルトで有効になっていますが、不便を避けるためにステータスを確認することをお勧めします。サービスが無効または停止されている場合、このユーティリティを使用することはできません。
– sestatus
SELinuxのsestatusコマンドは、SELinuxのステータスに関する詳細情報を提供します。以下に記述されているコマンドは、SELinuxのステータスをチェックします。
出力からわかるように、SELinuxが有効になっています。
$ sestatus
– getenforce
このコマンドは、ステータスに関する情報も提供します。ただし、その出力は1語であり、強制のいずれかになります。 または許容 。 デフォルトの状態は強制です。これは有効な状態を指し、出力が許容値を返す場合は、サービスが機能していないことを意味します。次のコマンドを入力して、ステータスを確認します。
注: 許容出力は、SELinuxが有効になっているが、SELinuxポリシールールによって強制されていないことを示しています。ただし、強制するということは、SELinuxルールが守られていることを意味します。
$ getenforce
SELinuxのステータスを変更する
SELinuxのステータスを変更するには、setenforceコマンドを実行できます。
注: setenforceコマンドがステータスを一時的に操作することに注意してください。永続的に実行する場合は、SELinuxの構成ファイルにアクセスして永続的な変更を行う必要があります。
– setenforce
SELinuxのsetenforceコマンドは、値 0を受け入れます または1 。ここで、0は許容モードを示し、1は現在のモードを許容モードに変更します。
以下で説明するコマンドは、SELinuxのステータスを強制モードに変更します(ただし一時的に)。
$ sudo setenforce 1
また、ステータスを Permissive に変更できます 次のコマンドの助けを借りて。
$ sudo setenforce 0
SELinuxブール値を管理する
SELinuxに関連付けられているブール値は、2つのコマンドで管理できます。 getsebool コマンドを使用すると、すべてのSELinuxブール値を一度にまたは1つずつ取得できます。そしてsetsebool コマンドを使用して、SELinuxのブール値を設定できます。 getsebool Linuxのコマンドを使用して、SELinuxに関連付けられたブール値を取得できます。
–getsebool
SELinuxですべてのブール値を取得するには、 getsebool コマンドは-aとともに使用されます 以下に示すフラグ。
オンのいずれかを観察します またはオフ 値:
$ getsebool -a 
ただし、名前を指定することで特定のブール値を取得できます。以下に記述されているコマンドは、allow_kerberos。という名前の1つのブール値を取得します。
$ getsebool allow_kerberos
–setsebool
setseboolコマンドは、SELinuxブール値の現在の状態を特定の値に設定するために使用されます。このコマンドは、SELinuxブール値のセットにも適用できます。
allow_execmodの現在の状態を取得するとします。 getseboolを使用する コマンド。
$ getsebool allow_execmod
そして、現在の状態をオフに変更します に setseboolの助けを借りて 以下に示すコマンド。
$ sudo setsebool allow_execmod on
または、オフを置き換えることができます およびオン 0のキーワード および1 それぞれ、SELinuxブール値の状態を変更します。
注: 必ずroot権限を使用してsetstatus、setsebool、semanageコマンドを実行してください。
SELinuxポリシーを管理する
管理 コマンドは、SELinuxで複数の操作を管理するための広範なサポートを提供します。このセクションには、最もよく使用されるいくつかのsemanageコマンドの例が含まれています。
–ユーザーを管理する
以下に記述されているコマンドを使用して、現在のSELinuxユーザーを一覧表示できます。
$ sudo semanage user -l 
–セマネージモジュール
SELinuxモジュールは、semanageモジュールを使用して操作されます。 セマネージツールのコマンド。まず、次のコマンドを使用してモジュールのリストを取得します。
$ sudo semanage module -l
-d を使用して、任意のモジュールを無効にできます このsemanageモジュールのフラグ。そのためには、ここに記載されている構文に従う必要があります:
$ semanage module -d <module-name>再度有効にするには、 -e 以下に示すオプション。
$ semanage module -e <module-name>–セマネージポート
SELinuxのポートのリストを取得するには、以下に示すようにsemanageコマンドを使用します。出力には3つの列が含まれ、最初の列にはポートタイプが表示され、2番目の列にはプロトコルとそれに続く各ポートが表示され、最後の列にはポート番号が表示されます。
$ sudo semanage port -l 
新しいポートを作成することもできます。同様に、以下のコマンドは次の値で新しいポートを追加します。
- ポートタイプはtで表されます コマンド内で値が割り当てられますhttp_port_t
- -p ここで使用されるフラグはプロトコルを表し、 tcpに設定されます
- 最後に、ポート番号が指定され、2222に設定されます。
一方、 -a ここでは、フラグを使用して、新しいポートを追加するようにコマンドに指示します。
$ sudo semanage port -a -t http_port_t -p tcp 2222
ボーナスのヒント
ここでは、SELinuxを定期的に使用している場合に確実に役立つボーナスのヒントを紹介します。それでは、始めましょう
SELinuxのステータスを永続的に変更する
SELinuxのステータスを永続的に変更したい場合は、 / etc / selinux/configにあるSELinuxの設定ファイルにアクセスする必要があります。 以下に記述されているコマンドは、nanoエディターでファイルを開きます。
$ sudo nano /etc/selinux/config 
ファイルを開くと、< SELINUX =permissiveという行が表示されます。>;値を変更して許容を置き換える必要があります 無効 または強制 (どのような状態でも)。 変更を実行した後、「 Ctrl + S」を押します 」を押して変更を保存し、「 Ctrl + X」を押してファイルを削除します。 「。
変更を適用するには、システムを再起動する必要があります。再起動後、ステータスは提供どおりに変わります。
結論
SELinuxには、ユーザーが複数のアプリ/ユーザーのアクセシビリティを簡単に制御できるようにするコマンドの広範なリストがあります。この記事では、知っておく必要のある最も重要なSELinuxコマンドをリストします。ここで記述されたコマンドは、SELinuxに関連するいくつかの目的で実行できます。 SELinuxのステータスの確認/変更から構成設定の操作まで。