Linux/SELinux/04/12 Richtlinienmodule: Unterschied zwischen den Versionen

Aktuelle Version vom 31. März 2026, 11:03 Uhr

Linux/SELinux/04/12 Richtlinienmodule - Richtlinienmodule

Beschreibung

Priorisierung und Deaktivierung von SELinux-Richtlinienmodulen

Der Speicher für SELinux-Module in /etc/selinux/ ermöglicht die Verwendung einer Priorität für SELinux-Module

Geben Sie den folgenden Befehl als Root ein, um zwei Modulverzeichnisse mit unterschiedlicher Priorität anzuzeigen

sudo ls /etc/selinux/targeted/active/modules
100 400 disabled

Während die Standardpriorität des Dienstprogramms semodule 400 beträgt, liegt die Priorität in selinux-policy-Paketen bei 100, sodass die meisten installierten SELinux-Module die Priorität 100 haben

Sie können ein vorhandenes Modul durch ein modifiziertes Modul mit demselben Namen und einer höheren Priorität überschreiben

Wenn mehrere Module mit demselben Namen und unterschiedlichen Prioritäten vorhanden sind, wird beim Erstellen der Richtlinie nur das Modul mit der höchsten Priorität verwendet

Verwendung von SELinux-Richtlinienmodulen – Priorität

Erstellen Sie ein neues Modul mit geändertem Dateikontext

Installieren Sie das Modul mit dem Befehl semodule -i und setzen Sie die Priorität des Moduls auf 400
Im folgenden Beispiel verwenden wir sandbox.pp

sudo semodule -X 400 -i sandbox.pp
sudo semodule --list-modules=full | grep sandbox
400 sandbox pp
100 sandbox pp

Um zum Standardmodul zurückzukehren, geben Sie als Root den Befehl semodule -r ein

sudo semodule -X 400 -r sandbox
libsemanage.semanage_direct_remove_key

Das Sandbox-Modul mit der Priorität 100 ist nun aktiv

Deaktivieren eines System-Policy-Moduls

Um ein System-Policy-Modul zu deaktivieren, geben Sie als Root den folgenden Befehl ein

semodule -d ''MODULE_NAME''

Warnung

Wenn Sie ein System-Policy-Modul mit dem Befehl semodule -r entfernen, wird es vom Speichersystem gelöscht und kann nicht erneut geladen werden

Um unnötige Neuinstallationen des selinux-policy-targeted-Pakets zur Wiederherstellung aller Systemrichtlinien-Module zu vermeiden, verwenden Sie stattdessen den Befehl semodule -d

← Zurück

Weiter →

@@ Zeile 1: / Zeile 1: @@
-=== Priorisierung und Deaktivierung von SELinux-Richtlinienmodulen ===
+'''Linux/SELinux/04/12 Richtlinienmodule''' - Richtlinienmodule
+{{navigation|Linux/SELinux/04/11 Informationsbeschaffung|Linux/SELinux/04/13 Multi-Level Security}}
+== Beschreibung ==
+; Priorisierung und Deaktivierung von SELinux-Richtlinienmodulen
 Der Speicher für SELinux-Module in ''/etc/selinux/'' ermöglicht die Verwendung einer Priorität für SELinux-Module
 * Geben Sie den folgenden Befehl als Root ein, um zwei Modulverzeichnisse mit unterschiedlicher Priorität anzuzeigen
@@ Zeile 32: / Zeile 36: @@
 Das Sandbox-Modul mit der Priorität 100 ist nun aktiv
-==== Deaktivieren eines System-Policy-Moduls ====
+=== Deaktivieren eines System-Policy-Moduls ===
 Um ein ''System-Policy''-Modul zu deaktivieren, geben Sie als Root den folgenden Befehl ein
 <syntaxhighlight lang="bash" highlight="1" copy line>
@@ Zeile 39: / Zeile 43: @@
 ; Warnung
+<blockquote>
 Wenn Sie ein ''System-Policy''-Modul mit dem Befehl ''semodule -r'' entfernen, wird es vom Speichersystem gelöscht und kann nicht erneut geladen werden
 * Um unnötige Neuinstallationen des selinux-policy-targeted-Pakets zur Wiederherstellung aller ''Systemrichtlinien''-Module zu vermeiden, verwenden Sie stattdessen den Befehl ''semodule -d''
+</blockquote>
 {{navigation|Linux/SELinux/04/11 Informationsbeschaffung|Linux/SELinux/04/13 Multi-Level Security}}
 [[Kategorie:Linux/SELinux/04]]