SELinux Booleschiche Werte

SELinux Teil III

Einige SELinux Regeln lassen sich ganz einfach aktivieren oder deaktivieren (0 oder 1 = boolesche Werte). Administratoren können damit sehr einfach Feinabstimmungen vornehmen.

In der Tabelle, aus dem SELinux Teil II Blog, habe ich die passenden Kommandos schon aufgeführt. Sie lauten getsebool, setsebool und semanage boolean.

Das Kommando getsebool -a liefert eine Liste, welche einfach aktiviert/deaktiviert werden können. In dem Beispiel suche ich mir alles raus, was mit httpd zu tun hat:

[root@rocky conf]# getsebool -a | grep httpd
httpd_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_check_spam --> off
httpd_can_connect_ftp --> off
httpd_can_connect_ldap --> off
httpd_can_connect_mythtv --> off
httpd_can_connect_zabbix --> off
httpd_can_network_connect --> off
httpd_can_network_connect_cobbler --> off
httpd_can_network_connect_db --> off
httpd_can_network_memcache --> off
httpd_can_network_relay --> off
httpd_can_sendmail --> off
httpd_dbus_avahi --> off
httpd_dbus_sssd --> off
httpd_dontaudit_search_dirs --> off
httpd_enable_cgi --> on
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> off
httpd_execmem --> off
httpd_graceful_shutdown --> off
httpd_manage_ipa --> off
httpd_mod_auth_ntlm_winbind --> off
httpd_mod_auth_pam --> off
httpd_read_user_content --> off
httpd_run_ipa --> off
httpd_run_preupgrade --> off
httpd_run_stickshift --> off
httpd_serve_cobbler_files --> off
httpd_setrlimit --> off
httpd_ssi_exec --> off
httpd_sys_script_anon_write --> off
httpd_tmp_exec --> off
httpd_tty_comm --> off
httpd_unified --> off
httpd_use_cifs --> off
httpd_use_fusefs --> off
httpd_use_gpg --> off
httpd_use_nfs --> off
httpd_use_opencryptoki --> off
httpd_use_openstack --> off
httpd_use_sasl --> off
httpd_verify_dns --> off
[root@rocky conf]#

Die gezielte Abfrage zu einem gesetzten Boolean erfolgt einfach mit getsebool:

[root@rocky conf]# getsebool httpd_enable_homedirs
httpd_enable_homedirs --> off

Etwas genauer mit einer kurzen Beschreibung geht es mit semanage boolen:

[root@rocky conf]# semanage boolean -l | grep httpd_enable_homedirs

httpd_enable_homedirs          (aus  ,  aus)  Allow httpd to enable homedirs

Genauso einfach ist es einen Wert zu ändern:

[root@rocky conf]# setsebool httpd_enable_homedirs on

[root@rocky conf]#

[root@rocky conf]# getsebool httpd_enable_homedirs

httpd_enable_homedirs --> on

Mit der Option -P, also setsebool -P httpd_enable_homedirs on, würde der Wert in der SELinux Datenbank mit übernommen werden und stünde auch nach einem Reboot wieder bereit.

Mit der oben gezeigten Beispielregel httpd_enable_homedirs wird es einem Webserver erlaubt, Webinhalte aus den USERHOME -Verzeichnissen zu präsentieren.