Linux/SELinux/04/12 Richtlinienmodule: Unterschied zwischen den Versionen

Linux/SELinux/04/12 Richtlinienmodule - Richtlinienmodule

Der Speicher für SELinux-Module in /etc/selinux/ ermöglicht die Verwendung einer Priorität für SELinux-Module

• Geben Sie den folgenden Befehl als Root ein, um zwei Modulverzeichnisse mit unterschiedlicher Priorität anzuzeigen

sudo ls /etc/selinux/targeted/active/modules
100 400 disabled

Während die Standardpriorität des Dienstprogramms semodule 400 beträgt, liegt die Priorität in selinux-policy-Paketen bei 100, sodass die meisten installierten SELinux-Module die Priorität 100 haben

Sie können ein vorhandenes Modul durch ein modifiziertes Modul mit demselben Namen und einer höheren Priorität überschreiben

• Wenn mehrere Module mit demselben Namen und unterschiedlichen Prioritäten vorhanden sind, wird beim Erstellen der Richtlinie nur das Modul mit der höchsten Priorität verwendet

Verwendung von SELinux-Richtlinienmodulen – Priorität

Erstellen Sie ein neues Modul mit geändertem Dateikontext

• Installieren Sie das Modul mit dem Befehl semodule -i und setzen Sie die Priorität des Moduls auf 400
• Im folgenden Beispiel verwenden wir sandbox.pp

sudo semodule -X 400 -i sandbox.pp
sudo semodule --list-modules=full | grep sandbox
400 sandbox pp
100 sandbox pp

Um zum Standardmodul zurückzukehren, geben Sie als Root den Befehl semodule -r ein

sudo semodule -X 400 -r sandbox
libsemanage.semanage_direct_remove_key

Das Sandbox-Modul mit der Priorität 100 ist nun aktiv

Um ein System-Policy-Modul zu deaktivieren, geben Sie als Root den folgenden Befehl ein

semodule -d ''MODULE_NAME''

Warnung

Wenn Sie ein System-Policy-Modul mit dem Befehl semodule -r entfernen, wird es vom Speichersystem gelöscht und kann nicht erneut geladen werden

• Um unnötige Neuinstallationen des selinux-policy-targeted-Pakets zur Wiederherstellung aller Systemrichtlinien-Module zu vermeiden, verwenden Sie stattdessen den Befehl semodule -d