SELinux Boole Değerlerini Etkinleştirme veya Devre Dışı Bırakma

Güvenliği Geliştirilmiş Linux (SELinux), Linux çekirdeğinde uygulanan zorunlu erişim kontrolüne (MAC) yönelik bir güvenlik mekanizmasıdır. Genel sistem güvenliğini artırmak için tasarlanmış esnek bir işlemdir: sisteme yüklenen ve normal kullanıcılar veya hatalı davranan programlar tarafından değiştirilemeyen bir politika kullanılarak uygulanan erişim kontrollerine olanak tanır.

Aşağıdaki makale SELinux'u ve onu Linux sisteminize nasıl uygulayacağınızı açıkça açıklamaktadır.

  1. Linux'ta SELinux veya AppArmor ile Zorunlu Erişim Denetiminin Uygulanması

Bu yazımızda CentOS, RHEL ve Fedora Linux dağıtımlarında SELinux boole değerlerini nasıl açıp kapatacağınızı göstereceğiz.

Tüm SELinux boolean'larını görüntülemek için less komutuyla birlikte getsebool komutunu kullanın.

Not: Tüm boolean'ların listelenmesi için SELinux'un etkin durumda olması gerekir.

getsebool -a | less

Belirli bir programın (veya arka plan programının) tüm boole değerlerini görüntülemek için grep yardımcı programını kullanın; aşağıdaki komut size tüm httpd boolean'larını gösterir.

getsebool -a | grep httpd

(1)'i açmak veya (0) SELinux boolean'larını kapatmak için, aşağıda açıklandığı gibi setsebool programını kullanabilirsiniz.

SELinux Boolean Değerlerini Etkinleştirme veya Devre Dışı Bırakma

Sisteminizde yüklü bir web sunucunuz varsa, allow_httpd_sys_script_anon_write boolean'ını etkinleştirerek HTTPD komut dosyalarının public_content_rw_t etiketli dizinlere dosya yazmasına izin verebilirsiniz.

getsebool allow_httpd_sys_script_anon_write 
setsebool allow_httpd_sys_script_anon_write on
OR
setsebool allow_httpd_sys_script_anon_write 1

Benzer şekilde SELinux boolean değerinin üzerinde devre dışı bırakmak veya kapatmak için aşağıdaki komutu çalıştırın.

setsebool allow_httpd_sys_script_anon_write off
setsebool allow_mount_anyfile off
OR
setsebool allow_httpd_sys_script_anon_write  0
setsebool allow_mount_anyfile  0

Tüm SELinux boolean'larının anlamını https://wiki.centos.org/TipsAndTricks/SelinuxBooleans adresinde bulabilirsiniz.

Güvenlikle ilgili aşağıdaki makaleleri okumayı unutmayın.

  1. RHEL/CentOS'ta SELinux'u Geçici veya Kalıcı Olarak Devre Dışı Bırakma
  2. SELinux ile Zorunlu Erişim Kontrolü Esasları
  3. CentOS 7'yi Sağlamlaştırma ve Güvenliğini Sağlama İçin Mega Kılavuz

Bu yazımızda CentOS, RHEL ve Fedora dağıtımlarında SELinux boolean değerlerinin nasıl etkinleştirilip devre dışı bırakılacağını anlattık. Sorularınız varsa aşağıdan yorum yoluyla sorabilirsiniz.