如何啟用或停用 SELinux 布林值？

---

簡介

SELinux（安全增強型 Linux）是一個安全模組，它為基於 Linux 的系統提供強制訪問控制 (MAC)。SELinux 模組透過確保系統上的每個程序和使用者只有權訪問其所需的資源來工作。它透過為程序、檔案和其他系統資源定義安全上下文來實現這一點。

SELinux 的關鍵特性之一是它使用布林值。這些是二進位制選項，可以設定為“開”或“關”。

SELinux 布林值的解釋

SELinux 布林值是二進位制選項，用於確定是否執行特定策略。每個布林值對應於特定的 SELinux 規則或策略。

例如，布林值 httpd_can_network_connect 控制是否允許 Apache Web 伺服器進行網路連線。布林值可以使用 Linux 中的 setsebool 命令設定。

啟用 SELinux 布林值

SELinux 布林值是一組標誌，用於控制 SELinux 策略的各個方面。這些標誌可用於啟用或停用某些安全功能，以及自定義系統的行為。

啟用 SELinux 布林值的逐步說明

在啟用 SELinux 布林值之前，務必檢查系統布林值的當前狀態。這可以透過執行以下命令來完成：

semanage boolean -l 

確定要啟用的布林值後，可以使用以下命令：

setsebool boolean_name on 

例如，如果要啟用 httpd_can_network_connect 布林值，則執行：

setsebool httpd_can_network_connect on 

檢查 SELinux 布林值的當前狀態

要檢查系統上特定布林值當前是啟用還是停用，請執行此命令：

getsebool boolean_name 

例如，要檢查 httpd_can_network_connect 是否啟用或停用，請執行：

getsebool httpd_can_network_connect 

這將返回“開”或“關”，指示布林值當前是啟用還是停用。

啟用特定布林值

要啟用特定的 SELinux 布林值，請使用此命令：

setsebool BOOLEAN_NAME [VALUE] 

其中 BOOLEAN_NAME 被替換為特定布林值的名稱，VALUE 為“1”（啟用）或“0”（停用）。

驗證布林值是否已啟用

啟用 SELinux 布林值後，務必驗證它是否已成功啟用。您可以使用 getsebool 命令檢查布林值的狀態（如上一節所述）。如果布林值現在已啟用，則執行該命令時應顯示“開”。

停用 SELinux 布林值

可以停用 SELinux 布林值以允許訪問某些系統功能，否則這些功能可能會受到限制。停用某個布林值時，將授予對以前被 SELinux 拒絕的特定操作的訪問許可權。僅在必要時才應停用布林值，使用者應確保他們瞭解停用某些值可能帶來的潛在安全風險。

停用 SELinux 布林值的逐步說明

• 首先，使用命令 `semanage boolean -l` 檢查 SELinux 布林值的當前狀態。這將顯示所有可用布林值及其當前狀態的列表。

• 透過搜尋列表，找到要停用的特定布林值。

• 要停用選定的布林值，請使用此命令：`setsebool [boolean_name] off`。

• 停用布林值後，使用此命令驗證它是否已關閉：`getsebool [boolean_name]`。

• 如果停用特定布林值後發現它會導致系統功能出現問題或錯誤，只需透過輸入此命令將其恢復到以前的狀態：`setsebool [boolean_name] on`。

需要注意的是，並非所有布林值都可以或應該停用，因為這樣做可能會危及系統的安全性和功能。

檢查 SELinux 布林值的當前狀態

在停用任何 SELinux 布林值之前，務必首先確定它們在系統上的當前狀態，並確認它們是否已設定為“關”。使用帶有“-l”引數的 semanage 工具列出所有當前可用的布林值及其各自的狀態：

$ semanage boolean -l 

這將顯示可用 SELinux 布林值及其當前狀態（“開”或“關”）。確認要停用的布林值後，請記下其名稱和狀態以供將來參考。

停用特定布林值

要停用特定的 SELinux 布林值，請使用 `setsebool` 命令，後跟布林值的名稱和“off”作為引數。例如，要停用 httpd_use_nfs 布林值，請執行此命令：

$ setsebool httpd_use_nfs off 

在按 Enter 鍵之前，請確保輸入正確的布林值名稱，因為不正確的名稱可能會導致系統功能出現問題。

驗證布林值是否已停用

停用特定的 SELinux 布林值後，務必驗證它是否已成功關閉。使用此命令檢查其當前狀態：

$ getsebool [boolean_name] 

輸出應顯示您首選的 SELinux 布林值已被停用或關閉。

SELinux 布林值的細分主題

使用“semanage”命令管理布林值

“semanage”命令是一個強大的工具，用於管理 SELinux 策略（包括布林值）。它允許您輕鬆檢視、新增、刪除和修改布林值。

要使用此命令，必須安裝“policycoreutils-python-utils”包。要使用 semanage 檢視所有可用布林值，請輸入此命令：

$ sudo semanage boolean -l 

這將顯示系統中所有可用布林值的列表。

要使用 semanage 啟用或停用特定布林值，請執行以下命令：

$ sudo semanage boolean --modify --on 
$ sudo semanage boolean --modify --off 

其中“”是要啟用或停用的布林值的名稱。

您可以透過執行以下命令來驗證布林值是否已啟用或停用：

$ getsebool 

在 SELinux 中建立自定義布林值

有時，您可能需要在 SELinux 中建立自定義布林值以滿足特定的安全要求。為此，可以使用“semanage”命令。

要使用 semanage 建立新的布林值，請執行：

$ sudo semanage boolean -m --on|off 

其中“”是新自定義布林值的名稱。然後，您可以使用以下命令檢查新自定義布林值是否已建立：

$ getsebool -a | grep "" 

您還可以使用“-m”修改現有的自定義布林值，並使用“-d”刪除它。

SELinux 問題的故障排除

SELinux 有時可能難以使用，尤其是在您剛開始使用它時。對 SELinux 問題進行故障排除可能非常耗時，但對於確保系統安全至關重要。如果遇到 SELinux 問題，首先要檢查日誌。

SELinux 日誌儲存在“/var/log/audit/audit.log”中。您可以使用“ausearch”命令搜尋相關的日誌條目：

$ sudo ausearch -m avc -ts recent 

這將顯示所有最近的 AVC（訪問向量快取）拒絕。

您還可以使用“audit2allow”和“audit2why”命令來幫助確定 AVC 拒絕發生的原因。另一個常見問題是某些應用程式可能無法與啟用的 SELinux 正確配合使用。

在這種情況下，您可以嘗試使用以下方法暫時停用 SELinux：

$ sudo setenforce 0 

這會將 SELinux 置於允許模式而不是強制模式，允許所有操作但仍會記錄它們。這樣，您可以確定哪些操作會導致問題並相應地建立自定義策略。

結論

SELinux 是一項重要的安全功能，它可以透過強制執行強制訪問控制來保護您的系統。啟用或停用 SELinux 布林值可以幫助您自定義這些訪問控制以滿足您的特定需求。瞭解啟用和停用 SELinux 布林值的過程，以及建立自定義布林值和解決問題，可以幫助您最佳化系統的安全性。