4. ملٽي ليول سيڪيورٽي فراهم ڪرڻ جو مقصد (ملٽي ليول سيڪيورٽي - MLS) ڊيٽا جي حفاظت جي سطح جي بنياد تي پروسيس (ڊومينز) کي منظم ڪرڻ آهي جيڪي اهي استعمال ڪندا. مثال طور، هڪ ڳجهي عمل مٿين ڳجهي ڊيٽا کي پڙهي نٿو سگهي.
سلسلي ۾ هلندڙ عمل httpd_t، هڪ ليبل ٿيل اعتراض سان لهه وچڙ ڪري سگهو ٿا httpd_something_t.
13. ڪيترائي حڪم هڪ دليل قبول ڪن ٿا -Z ڏسڻ، ٺاھڻ ۽ تبديل ڪرڻ لاءِ:
ls -Z
id -Z
ps -Z
netstat -Z
cp -Z
mkdir -Z
حوالا قائم ڪيا ويندا آهن جڏهن فائلون ٺاهي وينديون آهن انهن جي والدين ڊاريڪٽري جي حوالي سان (ڪجهه استثنا سان). RPMs انسٽاليشن جي دوران مقصدن کي قائم ڪري سگھن ٿا.
14. SELinux غلطين جا چار مکيه سبب آھن، جن کي وڌيڪ تفصيل سان ھيٺ ڏنل پوائنٽس 15-21 ۾ بيان ڪيو ويو آھي:
ليبلنگ جا مسئلا
ڇو جو SELinux کي ڄاڻڻ جي ضرورت آهي
SELinux پاليسي/ايپليڪيشن ۾ غلطي
توهان جي معلومات سان ٺاهه ٿي سگهي ٿو
15.ليبلنگ جو مسئلو: جيڪڏهن توهان جون فائلون اندر آهن /srv/myweb غلط طور تي نشان لڳل آھن، رسائي رد ٿي سگھي ٿي. هتي هن کي درست ڪرڻ لاء ڪجهه طريقا آهن:
17. ته SELinux توهان کي ڄاڻڻ جي ضرورت آهيته HTTPD بندرگاهه 8585 تي ٻڌي رهيو آهي، SELinux کي ٻڌايو:
# semanage port -a -t http_port_t -p tcp 8585
18.SELinux توهان کي ڄاڻڻ جي ضرورت آهي Boolean قدر جيڪي SELinux پاليسي جي حصن کي رن ٽائم تي تبديل ڪرڻ جي اجازت ڏين ٿا بغير SELinux پاليسي جي اوور رائٽ ٿيڻ جي ڄاڻ. مثال طور، جيڪڏھن توھان چاھيو ٿا httpd اي ميل موڪلي، داخل ڪريو: # setsebool -P httpd_can_sendmail 1
19.SELinux توهان کي ڄاڻڻ جي ضرورت آهي SELinux سيٽنگن کي فعال/بند ڪرڻ لاءِ منطقي قدر:
سڀ بوليان قدر ڏسڻ لاءِ: # getsebool -a
هر هڪ جي وضاحت ڏسڻ لاء: # semanage boolean -l
هڪ بوليان قدر مقرر ڪرڻ لاء: # setsebool [_boolean_] [1|0]
مستقل تنصيب لاءِ، شامل ڪريو -P. مثال طور # setsebool httpd_enable_ftp_server 1 -P
20. SELinux پاليسين/ايپليڪيشنن ۾ نقص ٿي سگھي ٿي، بشمول:
غير معمولي ڪوڊ رستا
ترتيبون
stdout ڏانهن موٽڻ
فائل جي وضاحت ڪندڙ ليڪ
قابل عمل ياداشت
ناقص ٺهيل لائبريريون
کليل ٽڪيٽون (بگزيلا کي رپورٽ نه ڏيو؛ بگزيلا وٽ ڪو SLA ناهي).
21.توهان جي معلومات سان ٺاهه ٿي سگهي ٿوجيڪڏهن توهان وٽ محدود ڊومينز ڪوشش ڪري رهيا آهن:
25. جيڪڏهن SELinux غلطي ٿئي ٿي، لاگ استعمال ڪريو setroubleshoot ڪيترن ئي ممڪن حل پيش ڪري ٿو.
مثال طور، کان journalctl:
Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
***** Plugin restorecon (99.5 confidence) suggests ************************
If you want to fix the label,
/var/www/html/index.html default label should be httpd_syscontent_t.
Then you can restorecon.
Do
# /sbin/restorecon -v /var/www/html/index.html
26. لاگنگ: SELinux ڪيترن ئي هنڌن تي معلومات رڪارڊ ڪري ٿو: