സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർക്കുള്ള SELinux ചീറ്റ് ഷീറ്റ്: പ്രധാനപ്പെട്ട ചോദ്യങ്ങൾക്കുള്ള 42 ഉത്തരങ്ങൾ

ലേഖനത്തിന്റെ വിവർത്തനം കോഴ്‌സിലെ വിദ്യാർത്ഥികൾക്കായി പ്രത്യേകം തയ്യാറാക്കിയതാണ് "ലിനക്സ് അഡ്മിനിസ്ട്രേറ്റർ".

മെച്ചപ്പെട്ട സുരക്ഷയോടെ, ജീവിതം, പ്രപഞ്ചം, ലിനക്സിലെ എല്ലാം എന്നിവയെ കുറിച്ചുള്ള പ്രധാനപ്പെട്ട ചോദ്യങ്ങൾക്ക് ഇവിടെ നിങ്ങൾക്ക് ഉത്തരം ലഭിക്കും.

"കാര്യങ്ങൾ എല്ലായ്‌പ്പോഴും തോന്നുന്നത് പോലെയല്ല എന്ന പ്രധാന സത്യം പൊതുവായ അറിവാണ്..."

-ഡഗ്ലസ് ആഡംസ്, ഗാലക്സിയിലേക്കുള്ള ഹിച്ച്‌ഹൈക്കേഴ്‌സ് ഗൈഡ്

സുരക്ഷ. വർദ്ധിച്ച വിശ്വാസ്യത. കത്തിടപാടുകൾ. നയം. അപ്പോക്കലിപ്സ് സിസാഡ്മിന്റെ നാല് കുതിരക്കാർ. ഞങ്ങളുടെ ദൈനംദിന ജോലികൾക്ക് പുറമേ - നിരീക്ഷണം, ബാക്കപ്പ്, നടപ്പിലാക്കൽ, കോൺഫിഗറേഷൻ, അപ്‌ഡേറ്റ് മുതലായവ - ഞങ്ങളുടെ സിസ്റ്റങ്ങളുടെ സുരക്ഷയ്ക്കും ഞങ്ങൾ ഉത്തരവാദികളാണ്. ഞങ്ങൾ മെച്ചപ്പെടുത്തിയ സുരക്ഷ പ്രവർത്തനരഹിതമാക്കാൻ മൂന്നാം കക്ഷി ദാതാവ് ശുപാർശ ചെയ്യുന്ന സിസ്റ്റങ്ങളിൽ പോലും. ജോലി പോലെ തോന്നുന്നു ഏഥൻ ഹണ്ട് "മിഷൻ: ഇംപോസിബിൾ" എന്നതിൽ നിന്ന്

ഈ പ്രതിസന്ധി നേരിടുമ്പോൾ, ചില സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർ എടുക്കാൻ തീരുമാനിക്കുന്നു നീല ഗുളിക, കാരണം, ജീവിതം, പ്രപഞ്ചം, എല്ലാം എന്ന വലിയ ചോദ്യത്തിനുള്ള ഉത്തരം തങ്ങൾക്ക് ഒരിക്കലും അറിയില്ലെന്ന് അവർ കരുതുന്നു. നമുക്കെല്ലാവർക്കും അറിയാവുന്നതുപോലെ, ആ ഉത്തരം 42 ആണ്.

ദി ഹിച്ച്‌ഹൈക്കേഴ്‌സ് ഗൈഡ് ടു ദ ഗാലക്‌സിയുടെ സ്പിരിറ്റിൽ, നിയന്ത്രണത്തെയും ഉപയോഗത്തെയും കുറിച്ചുള്ള പ്രധാനപ്പെട്ട ചോദ്യങ്ങൾക്കുള്ള 42 ഉത്തരങ്ങൾ ഇതാ. എസ്ഇലിനക്സ് നിങ്ങളുടെ സിസ്റ്റങ്ങളിൽ.

1. SELinux ഒരു നിർബന്ധിത ആക്സസ് കൺട്രോൾ സിസ്റ്റമാണ്, അതായത് എല്ലാ പ്രക്രിയകൾക്കും ഒരു ലേബൽ ഉണ്ട്. ഓരോ ഫയലിനും ഡയറക്ടറിക്കും സിസ്റ്റം ഒബ്ജക്റ്റിനും ലേബലുകൾ ഉണ്ട്. ടാഗ് ചെയ്‌ത പ്രോസസ്സുകളും ഒബ്‌ജക്‌റ്റുകളും തമ്മിലുള്ള ആക്‌സസ് നിയന്ത്രിക്കുന്നത് നയ നിയമങ്ങൾ. കേർണൽ ഈ നിയമങ്ങൾ നടപ്പിലാക്കുന്നു.

2. ഏറ്റവും പ്രധാനപ്പെട്ട രണ്ട് ആശയങ്ങൾ ഇവയാണ്: ലേബലിംഗ് - അടയാളപ്പെടുത്തലുകൾ (ഫയലുകൾ, പ്രോസസ്സുകൾ, പോർട്ടുകൾ മുതലായവ) കൂടാതെ ടൈപ്പ് എൻഫോഴ്സ്മെന്റ് (ഇത് തരങ്ങളെ അടിസ്ഥാനമാക്കി പ്രക്രിയകളെ പരസ്പരം വേർതിരിച്ചെടുക്കുന്നു).

3. ശരിയായ ലേബൽ ഫോർമാറ്റ് user:role:type:level (ഓപ്ഷണൽ).

4. മൾട്ടി-ലെവൽ സുരക്ഷ നൽകുന്നതിന്റെ ഉദ്ദേശ്യം (മൾട്ടി ലെവൽ സെക്യൂരിറ്റി - MLS) അവർ ഉപയോഗിക്കുന്ന ഡാറ്റയുടെ സുരക്ഷയുടെ നിലവാരത്തെ അടിസ്ഥാനമാക്കി പ്രോസസ്സുകൾ (ഡൊമെയ്‌നുകൾ) കൈകാര്യം ചെയ്യുക എന്നതാണ്. ഉദാഹരണത്തിന്, ഒരു രഹസ്യ പ്രക്രിയയ്ക്ക് ഉയർന്ന രഹസ്യ ഡാറ്റ വായിക്കാൻ കഴിയില്ല.

5. മൾട്ടി കാറ്റഗറി സുരക്ഷ ഉറപ്പാക്കുന്നു (മൾട്ടി-വിഭാഗ സുരക്ഷ - MCS) സമാന പ്രക്രിയകൾ പരസ്പരം സംരക്ഷിക്കുന്നു (ഉദാഹരണത്തിന്, വെർച്വൽ മെഷീനുകൾ, ഓപ്പൺഷിഫ്റ്റ് എഞ്ചിനുകൾ, SELinux സാൻഡ്ബോക്സുകൾ, കണ്ടെയ്നറുകൾ മുതലായവ).

6. ബൂട്ടിൽ SELinux മോഡുകൾ മാറ്റുന്നതിനുള്ള കേർണൽ ഓപ്ഷനുകൾ:

• autorelabel=1 → സിസ്റ്റം റീലേബലിംഗ് പ്രവർത്തിപ്പിക്കുന്നതിന് കാരണമാകുന്നു
• selinux=0 → കെർണൽ SELinux ഇൻഫ്രാസ്ട്രക്ചർ ലോഡ് ചെയ്യുന്നില്ല
• enforcing=0 → അനുവദനീയമായ മോഡിൽ ലോഡ് ചെയ്യുന്നു

7. നിങ്ങൾക്ക് മുഴുവൻ സിസ്റ്റവും വീണ്ടും ലേബൽ ചെയ്യണമെങ്കിൽ:

# touch /.autorelabel
#reboot

സിസ്റ്റം മാർക്കിംഗിൽ ധാരാളം പിശകുകൾ ഉണ്ടെങ്കിൽ, റീമാർക്കിംഗ് വിജയിക്കുന്നതിന് നിങ്ങൾ പെർമിസീവ് മോഡിൽ ബൂട്ട് ചെയ്യേണ്ടതായി വന്നേക്കാം.

8. SELinux പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടോയെന്ന് പരിശോധിക്കാൻ: # getenforce

9. SELinux താൽക്കാലികമായി പ്രവർത്തനക്ഷമമാക്കാൻ/അപ്രാപ്‌തമാക്കാൻ: # setenforce [1|0]

10. SELinux നില പരിശോധിക്കുന്നു: # sestatus

11. കോൺഫിഗറേഷൻ ഫയൽ: /etc/selinux/config

12. SELinux എങ്ങനെയാണ് പ്രവർത്തിക്കുന്നത്? അപ്പാച്ചെ വെബ് സെർവറിനായി അടയാളപ്പെടുത്തുന്നതിനുള്ള ഒരു ഉദാഹരണം ഇതാ:

• ബൈനറി പ്രാതിനിധ്യം: /usr/sbin/httpd→httpd_exec_t
• കോൺഫിഗറേഷൻ ഡയറക്ടറി: /etc/httpd→httpd_config_t
• ലോഗ് ഫയൽ ഡയറക്ടറി: /var/log/httpd → httpd_log_t
• ഉള്ളടക്ക ഡയറക്ടറി: /var/www/html → httpd_sys_content_t
• സ്ക്രിപ്റ്റ് സമാരംഭിക്കുക: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
• പ്രക്രിയ: /usr/sbin/httpd -DFOREGROUND → httpd_t
• തുറമുഖങ്ങൾ: 80/tcp, 443/tcp → httpd_t, http_port_t

സന്ദർഭത്തിൽ പ്രവർത്തിക്കുന്ന പ്രക്രിയ httpd_t, ലേബൽ ചെയ്ത ഒബ്‌ജക്‌റ്റുമായി സംവദിക്കാൻ കഴിയും httpd_something_t.

13. പല കമാൻഡുകളും ഒരു വാദം അംഗീകരിക്കുന്നു -Z സന്ദർഭം കാണാനും സൃഷ്ടിക്കാനും മാറ്റാനും:

• ls -Z
• id -Z
• ps -Z
• netstat -Z
• cp -Z
• mkdir -Z

ഫയലുകൾ അവയുടെ പാരന്റ് ഡയറക്‌ടറിയുടെ സന്ദർഭത്തെ അടിസ്ഥാനമാക്കി സൃഷ്‌ടിക്കുമ്പോൾ (ചില ഒഴിവാക്കലുകളോടെ) സന്ദർഭങ്ങൾ സ്ഥാപിക്കപ്പെടുന്നു. RPM-കൾക്ക് ഇൻസ്റ്റലേഷൻ സമയത്ത് പോലെ സന്ദർഭങ്ങൾ സ്ഥാപിക്കാൻ കഴിയും.

14. SELinux പിശകുകളുടെ നാല് പ്രധാന കാരണങ്ങളുണ്ട്, അവ ചുവടെ 15-21 പോയിന്റുകളിൽ കൂടുതൽ വിശദമായി വിവരിച്ചിരിക്കുന്നു:

• ലേബലിംഗ് പ്രശ്നങ്ങൾ
• കാരണം SELinux അറിഞ്ഞിരിക്കേണ്ട ചിലത്
• SELinux നയം/അപ്ലിക്കേഷനിൽ പിശക്
• നിങ്ങളുടെ വിവരങ്ങൾ അപഹരിക്കപ്പെട്ടേക്കാം

15. ലേബലിംഗ് പ്രശ്നം: നിങ്ങളുടെ ഫയലുകൾ ഉള്ളിലാണെങ്കിൽ /srv/myweb തെറ്റായി അടയാളപ്പെടുത്തിയിരിക്കുന്നു, പ്രവേശനം നിരസിക്കപ്പെട്ടേക്കാം. ഇത് പരിഹരിക്കാനുള്ള ചില വഴികൾ ഇതാ:

• നിങ്ങൾക്ക് ലേബൽ അറിയാമെങ്കിൽ:
  # semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'
• തത്തുല്യമായ അടയാളപ്പെടുത്തലുകളുള്ള ഒരു ഫയൽ നിങ്ങൾക്കറിയാമെങ്കിൽ:
  # semanage fcontext -a -e /srv/myweb /var/www
• സന്ദർഭം പുനഃസ്ഥാപിക്കുന്നു (രണ്ട് സാഹചര്യങ്ങൾക്കും):
  # restorecon -vR /srv/myweb

16. ലേബലിംഗ് പ്രശ്നം: നിങ്ങൾ ഫയൽ പകർത്തുന്നതിന് പകരം അത് നീക്കുകയാണെങ്കിൽ, ഫയൽ അതിന്റെ യഥാർത്ഥ സന്ദർഭം നിലനിർത്തും. ഈ പ്രശ്നം പരിഹരിക്കാൻ:

• ലേബൽ ഉപയോഗിച്ച് സന്ദർഭ കമാൻഡ് മാറ്റുക:
  # chcon -t httpd_system_content_t /var/www/html/index.html
• ലിങ്ക് ലേബൽ ഉപയോഗിച്ച് സന്ദർഭ കമാൻഡ് മാറ്റുക:
  # chcon --reference /var/www/html/ /var/www/html/index.html
• സന്ദർഭം പുനഃസ്ഥാപിക്കുക (രണ്ട് കേസുകൾക്കും): # restorecon -vR /var/www/html/

17. ആണെങ്കിൽ നിങ്ങൾ അറിഞ്ഞിരിക്കേണ്ട SELinuxപോർട്ട് 8585-ൽ HTTPD ശ്രദ്ധിക്കുന്നുണ്ടെന്ന്, SELinux-നോട് പറയുക:

# semanage port -a -t http_port_t -p tcp 8585

18. നിങ്ങൾ അറിഞ്ഞിരിക്കേണ്ട SELinux SELinux പോളിസി പുനരാലേഖനം ചെയ്യപ്പെടാതെ തന്നെ റൺടൈമിൽ SELinux നയത്തിന്റെ ഭാഗങ്ങൾ മാറ്റാൻ അനുവദിക്കുന്ന ബൂളിയൻ മൂല്യങ്ങൾ. ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് httpd ഇമെയിൽ അയയ്ക്കണമെങ്കിൽ, നൽകുക: # setsebool -P httpd_can_sendmail 1

19. നിങ്ങൾ അറിഞ്ഞിരിക്കേണ്ട SELinux SELinux ക്രമീകരണങ്ങൾ പ്രവർത്തനക്ഷമമാക്കുന്നതിനും പ്രവർത്തനരഹിതമാക്കുന്നതിനുമുള്ള ലോജിക്കൽ മൂല്യങ്ങൾ:

• എല്ലാ ബൂളിയൻ മൂല്യങ്ങളും കാണാൻ: # getsebool -a
• ഓരോന്നിന്റെയും വിവരണം കാണാൻ: # semanage boolean -l
• ഒരു ബൂളിയൻ മൂല്യം സജ്ജമാക്കാൻ: # setsebool [_boolean_] [1|0]
• സ്ഥിരമായ ഇൻസ്റ്റാളേഷനായി, ചേർക്കുക -P. ഉദാഹരണത്തിന്: # setsebool httpd_enable_ftp_server 1 -P

20. SELinux നയങ്ങൾ/ആപ്ലിക്കേഷനുകളിൽ ഇനിപ്പറയുന്നവ ഉൾപ്പെടെ പിശകുകൾ അടങ്ങിയിരിക്കാം:

• അസാധാരണമായ കോഡ് പാതകൾ
• കോൺഫിഗറേഷനുകൾ
• stdout റീഡയറക്‌ട് ചെയ്യുന്നു
• ഫയൽ ഡിസ്ക്രിപ്റ്റർ ചോർച്ച
• എക്സിക്യൂട്ടബിൾ മെമ്മറി
• മോശമായി നിർമ്മിച്ച ലൈബ്രറികൾ

ടിക്കറ്റുകൾ തുറക്കുക (ബഗ്‌സില്ലയ്ക്ക് ഒരു റിപ്പോർട്ട് സമർപ്പിക്കരുത്; ബഗ്‌സില്ലയ്ക്ക് എസ്‌എൽ‌എ ഇല്ല).

21. നിങ്ങളുടെ വിവരങ്ങൾ അപഹരിക്കപ്പെട്ടേക്കാംനിങ്ങൾക്ക് നിയന്ത്രിത ഡൊമെയ്‌നുകൾ ഉണ്ടെങ്കിൽ:

• കേർണൽ മൊഡ്യൂളുകൾ ലോഡ് ചെയ്യുക
• നിർബന്ധിത SELinux മോഡ് പ്രവർത്തനരഹിതമാക്കുക
• എഴുതുക etc_t/shadow_t
• iptables നിയമങ്ങൾ മാറ്റുക

22. പോളിസി മൊഡ്യൂളുകൾ വികസിപ്പിക്കുന്നതിനുള്ള SELinux ടൂളുകൾ:

# yum -y install setroubleshoot setroubleshoot-server

റീബൂട്ട് ചെയ്യുക അല്ലെങ്കിൽ പുനരാരംഭിക്കുക auditd ഇൻസ്റ്റാളേഷന് ശേഷം.

23. ഉപയോഗിക്കുക

journalctl

ബന്ധപ്പെട്ട എല്ലാ ലോഗുകളുടെയും ഒരു ലിസ്റ്റ് പ്രദർശിപ്പിക്കുന്നതിന് setroubleshoot:

# journalctl -t setroubleshoot --since=14:20

24. ഉപയോഗിക്കുക journalctl ഒരു നിർദ്ദിഷ്ട SELinux ടാഗുമായി ബന്ധപ്പെട്ട എല്ലാ ലോഗുകളും ലിസ്റ്റുചെയ്യുന്നതിന്. ഉദാഹരണത്തിന്:

# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0

25. ഒരു SELinux പിശക് സംഭവിക്കുകയാണെങ്കിൽ, ലോഗ് ഉപയോഗിക്കുക setroubleshoot സാധ്യമായ നിരവധി പരിഹാരങ്ങൾ വാഗ്ദാനം ചെയ്യുന്നു.
ഉദാഹരണത്തിന്, നിന്ന് journalctl:

Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e

# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.

***** Plugin restorecon (99.5 confidence) suggests ************************

If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html

26. ലോഗിംഗ്: SELinux പല സ്ഥലങ്ങളിലും വിവരങ്ങൾ രേഖപ്പെടുത്തുന്നു:

• / var / ലോഗ് / സന്ദേശങ്ങൾ
• /var/log/audit/audit.log
• /var/lib/setroubleshoot/setroubleshoot_database.xml

27. ലോഗിംഗ്: ഓഡിറ്റ് ലോഗിൽ SELinux പിശകുകൾക്കായി തിരയുന്നു:

# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today

28. ഒരു നിർദ്ദിഷ്ട സേവനത്തിനായി SELinux ആക്സസ് വെക്റ്റർ കാഷെ (AVC) സന്ദേശങ്ങൾ കണ്ടെത്താൻ:

# ausearch -m avc -c httpd

29. യൂട്ടിലിറ്റി audit2allow നിരോധിത പ്രവർത്തനങ്ങളുടെ ലോഗുകളിൽ നിന്ന് വിവരങ്ങൾ ശേഖരിക്കുകയും തുടർന്ന് SELinux അനുമതി നയ നിയമങ്ങൾ സൃഷ്ടിക്കുകയും ചെയ്യുന്നു. ഉദാഹരണത്തിന്:

• എന്തുകൊണ്ടാണ് ആക്‌സസ് നിരസിക്കപ്പെട്ടത് എന്നതിന്റെ മനുഷ്യർക്ക് വായിക്കാൻ കഴിയുന്ന ഒരു വിവരണം സൃഷ്‌ടിക്കാൻ: # audit2allow -w -a
• നിരസിച്ച ആക്‌സസ് അനുവദിക്കുന്ന ഒരു തരം എൻഫോഴ്‌സ്‌മെന്റ് റൂൾ കാണാൻ: # audit2allow -a
• ഒരു ഇഷ്‌ടാനുസൃത മൊഡ്യൂൾ സൃഷ്‌ടിക്കാൻ: # audit2allow -a -M mypolicy
• ഓപ്ഷൻ -M നിർദ്ദിഷ്ട പേരിൽ ഒരു തരം എൻഫോഴ്‌സ്‌മെന്റ് ഫയൽ (.te) സൃഷ്‌ടിക്കുകയും നയം ഒരു പോളിസി പാക്കേജിലേക്ക് (.pp) സമാഹരിക്കുകയും ചെയ്യുന്നു: mypolicy.pp mypolicy.te
• ഒരു ഇഷ്‌ടാനുസൃത മൊഡ്യൂൾ ഇൻസ്റ്റാൾ ചെയ്യാൻ: # semodule -i mypolicy.pp

30. അനുവദനീയമായ മോഡിൽ പ്രവർത്തിക്കാൻ ഒരു പ്രത്യേക പ്രോസസ്സ് (ഡൊമെയ്ൻ) കോൺഫിഗർ ചെയ്യുന്നതിന്: # semanage permissive -a httpd_t

31. ഡൊമെയ്‌ൻ അനുവദനീയമാകാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നില്ലെങ്കിൽ: # semanage permissive -d httpd_t

32. അനുവദനീയമായ എല്ലാ ഡൊമെയ്‌നുകളും പ്രവർത്തനരഹിതമാക്കാൻ: # semodule -d permissivedomains

33. MLS SELinux നയം പ്രവർത്തനക്ഷമമാക്കുന്നു: # yum install selinux-policy-mls
в /etc/selinux/config:

SELINUX=permissive
SELINUXTYPE=mls

SELinux അനുവദനീയമായ മോഡിലാണ് പ്രവർത്തിക്കുന്നതെന്ന് ഉറപ്പാക്കുക: # setenforce 0
ഒരു സ്ക്രിപ്റ്റ് ഉപയോഗിക്കുക fixfilesഅടുത്ത റീബൂട്ടിൽ ഫയലുകൾ വീണ്ടും ലേബൽ ചെയ്തിട്ടുണ്ടെന്ന് ഉറപ്പാക്കാൻ:

# fixfiles -F onboot # reboot

34. ഒരു നിർദ്ദിഷ്‌ട MLS ശ്രേണിയുള്ള ഒരു ഉപയോക്താവിനെ സൃഷ്‌ടിക്കുക: # useradd -Z staff_u john

കമാൻഡ് ഉപയോഗിച്ച് useradd, നിലവിലുള്ള ഒരു SELinux ഉപയോക്താവിലേക്ക് പുതിയ ഉപയോക്താവിനെ മാപ്പ് ചെയ്യുക (ഈ സാഹചര്യത്തിൽ, staff_u).

35. SELinux, Linux ഉപയോക്താക്കൾ തമ്മിലുള്ള മാപ്പിംഗ് കാണുന്നതിന്: # semanage login -l

36. ഉപയോക്താവിനായി ഒരു പ്രത്യേക ശ്രേണി നിർവചിക്കുക: # semanage login --modify --range s2:c100 john

37. ഉപയോക്താവിന്റെ ഹോം ഡയറക്ടറി ലേബൽ ശരിയാക്കാൻ (ആവശ്യമെങ്കിൽ): # chcon -R -l s2:c100 /home/john

38. നിലവിലെ വിഭാഗങ്ങൾ കാണുന്നതിന്: # chcat -L

39. വിഭാഗങ്ങൾ മാറ്റുന്നതിനോ നിങ്ങളുടേത് സൃഷ്‌ടിക്കാൻ തുടങ്ങുന്നതിനോ, ഫയൽ ഇനിപ്പറയുന്ന രീതിയിൽ എഡിറ്റ് ചെയ്യുക:

/etc/selinux/_<selinuxtype>_/setrans.conf

40. ഒരു നിർദ്ദിഷ്ട ഫയൽ, റോൾ, ഉപയോക്തൃ സന്ദർഭം എന്നിവയിൽ ഒരു കമാൻഡ് അല്ലെങ്കിൽ സ്ക്രിപ്റ്റ് പ്രവർത്തിപ്പിക്കാൻ:

# runcon -t initrc_t -r system_r -u user_u yourcommandhere

• -t ഫയൽ സന്ദർഭം
• -r റോൾ സന്ദർഭം
• -u ഉപയോക്തൃ സന്ദർഭം

41. SELinux പ്രവർത്തനരഹിതമാക്കിയ കണ്ടെയ്‌നറുകൾ:

• പോഡ്മാൻ: # podman run --security-opt label=disable …
• ഡോക്കർ: # docker run --security-opt label=disable …

42. കണ്ടെയ്‌നറിന് സിസ്റ്റത്തിലേക്ക് പൂർണ്ണ ആക്‌സസ് നൽകണമെങ്കിൽ:

• പോഡ്മാൻ: # podman run --privileged …
• ഡോക്കർ: # docker run --privileged …

ഇപ്പോൾ നിങ്ങൾക്ക് ഉത്തരം ഇതിനകം അറിയാം. അതിനാൽ ദയവായി: പരിഭ്രാന്തരാകരുത്, SELinux പ്രവർത്തനക്ഷമമാക്കുക.

റെഫറൻസുകൾ:

• എസ്ഇലിനക്സ് by ഡാൻ വാൽഷ്
• SELinux പോളിസി എൻഫോഴ്‌സ്‌മെന്റിനും നിങ്ങളുടെ ദൃശ്യപരമായ വഴികാട്ടി ഡാൻ വാൽഷ് എഴുതിയത്
• വെറും മനുഷ്യർക്കുള്ള സുരക്ഷ മെച്ചപ്പെടുത്തിയ Linux by തോമസ് കാമറൂൺ
• SELinux കളറിംഗ് ബുക്ക് by മൈറോൺ ഡഫി
• SELinux ഉപയോക്താവിന്റെയും അഡ്മിനിസ്ട്രേറ്ററുടെയും ഗൈഡ്—Red Hat Enterprise Linux 7

അവലംബം: www.habr.com