Comprender los valores booleanos de SELinux

Una política de SELinux determinada se puede personalizar habilitando o deshabilitando un conjunto de valores booleanos de política. Los booleanos permiten cambiar partes de la política de SELinux en tiempo de ejecución, sin ningún conocimiento de la escritura de políticas de SELinux. Esto permite cambios sin recargar o recompilar la política de SELinux.

Puede mostrar esta lista desde la línea de comando usando el siguiente comando:

# semanage boolean -l
SELinux boolean                State  Default Description

privoxy_connect_any            (on   ,   on)  Allow privoxy to connect any
smartmon_3ware                 (off  ,  off)  Allow smartmon to 3ware
mpd_enable_homedirs            (off  ,  off)  Allow mpd to enable homedirs
xdm_sysadm_login               (off  ,  off)  Allow xdm to sysadm login
xen_use_nfs                    (off  ,  off)  Allow xen to use nfs
....

En la lista de muestra, xen_use_nfs Boolean está desactivado , lo que evita que xen use nfs.

Utilidades getsebool y setsebool

Mostrar valores booleanos

También puede usar el comando getsebool para enumerar los valores booleanos. Este comando muestra estados pero no descripciones. Para mostrar todos los valores booleanos y sus estados:

# getsebool -a
abrt_anon_write --> off
abrt_handle_event --> off
abrt_upload_watch_anon_write --> on
antivirus_can_scan_system --> off
antivirus_use_jit --> off
....

Incluya el nombre booleano como argumento para mostrar el estado de un booleano específico. También se permiten múltiples argumentos booleanos:

# getsebool xen_use_nfs allow_ftpd_use_nfs mozilla_read_content
xen_use_nfs --> off
ftpd_use_nfs --> off
mozilla_read_content --> off

Configuración de valores booleanos

Utilice el comando setsebool para configurar booleanos desde la línea de comandos. La sintaxis es:

# setsebool [Boolean] on|off

Por ejemplo, la siguiente secuencia de comandos muestra el estado actual de un booleano, luego lo habilita para permitir que el demonio syslogd envíe correo y luego muestra el estado nuevamente:

# getsebool xen_use_nfs 
xen_use_nfs --> off

# setsebool xen_use_nfs on

# getsebool xen_use_nfs 
xen_use_nfs --> on

Para que el cambio sea persistente entre reinicios, use la opción –P:

# setsebool –P xen_use_nfs on

Directorio

/sys/fs/selinux

También puede ver y cambiar el valor de los booleanos en el directorio /sys/fs/selinux. Los archivos booleanos se almacenan en el directorio /sys/fs/selinux/booleans:

# ls /sys/fs/selinux/booleans
abrt_anon_write                        mpd_use_cifs
abrt_handle_event                      mpd_use_nfs
abrt_upload_watch_anon_write           mplayer_execstack
antivirus_can_scan_system              mysql_connect_any
...

Para ver el valor de un booleano específico:

# cat /sys/fs/selinux/booleans/xen_use_nfs 
1   1

Un valor de 1 indica que el valor booleano está activado, mientras que 0 indica que está desactivado. El primer número indica el valor actual del booleano. El segundo número representa el valor pendiente del booleano. Para activar el booleano ftpd_anon_write:

# echo 1 > /sys/fs/selinux/booleans/ftpd_anon_write

Ver el contenido del archivo:

# cat /sys/fs/selinux/booleans/ftpd_anon_write
0   1

Para confirmar el nuevo valor:

# echo 1 > /sys/fs/selinux/commit_pending_bools

El valor ahora ha cambiado:

# cat /sys/fs/selinux/booleans/ftpd_anon_write 
1   1

# getsebool ftpd_anon_write
ftpd_anon_write --> on

Comprender las políticas de SELinux en Linux
¿Qué son los modos de SELinux y cómo configurarlos?