Inicio
Productos
Red Hat Enterprise Linux
8
Uso de SELinux
6.2. Cambiando la política de SELinux a MLS

6.2. Cambiando la política de SELinux a MLS

Siga los siguientes pasos para cambiar la política de SELinux de dirigida a la seguridad multinivel (MLS).

Importante

Red Hat no recomienda utilizar la política MLS en un sistema que esté ejecutando el sistema X Window. Además, cuando reetiqueta el sistema de archivos con etiquetas MLS, el sistema puede impedir el acceso a dominios confinados, lo que impide que su sistema se inicie correctamente. Por lo tanto, asegúrese de cambiar SELinux a modo permisivo antes de reetiquetar los archivos. En la mayoría de los sistemas, se ven muchas denegaciones de SELinux después de cambiar a MLS, y muchas de ellas no son triviales de arreglar.

Procedimiento

Instale el paquete selinux-policy-mls:
```
yum install selinux-policy-mls
```
```
# yum install selinux-policy-mls
```
Copy to Clipboard Toggle word wrap
Abra el archivo /etc/selinux/config en un editor de texto de su elección, por ejemplo:
```
vi /etc/selinux/config
```
```
# vi /etc/selinux/config
```
Copy to Clipboard Toggle word wrap
Cambie el modo de SELinux de enforcing a permissive y cambie de la política dirigida a MLS:
```
SELINUX=permissive
SELINUXTYPE=mls
```
```
SELINUX=permissive
SELINUXTYPE=mls
```
Copy to Clipboard Toggle word wrap
Guarde los cambios y salga del editor.
Antes de activar la política MLS, debe reetiquetar cada archivo del sistema de archivos con una etiqueta MLS:
```
fixfiles -F onboot
```
```
# fixfiles -F onboot
System will relabel on next boot
```
Copy to Clipboard Toggle word wrap
Reinicia el sistema:
```
reboot
```
```
# reboot
```
Copy to Clipboard Toggle word wrap
Comprueba si hay denegaciones de SELinux:
```
ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent -i
```
```
# ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent -i
```
Copy to Clipboard Toggle word wrap
Debido a que el comando anterior no cubre todos los escenarios, consulte Solución de problemas relacionados con SELinux para obtener orientación sobre la identificación, el análisis y la fijación de las denegaciones de SELinux.
Después de asegurarse de que no hay problemas relacionados con SELinux en su sistema, vuelva a poner SELinux en modo de aplicación cambiando la opción correspondiente en /etc/selinux/config:
```
SELINUX=aplicación
```
```
SELINUX=aplicación
```
Copy to Clipboard Toggle word wrap
Reinicia el sistema:
```
reboot
```
```
# reboot
```
Copy to Clipboard Toggle word wrap

Importante

Si su sistema no arranca o no puede iniciar sesión después de cambiar a MLS, añada el parámetro enforcing=0 a la línea de comandos del kernel. Consulte Cambiar los modos de SELinux en el momento del arranque para obtener más información.

También tenga en cuenta que en MLS, los inicios de sesión SSH como el usuario root asignado al rol de SELinux sysadm_r difieren del inicio de sesión como root en staff_r. Antes de iniciar su sistema en MLS por primera vez, considere permitir los inicios de sesión SSH como sysadm_r estableciendo el booleano SELinux ssh_sysadm_login a 1. Para habilitar ssh_sysadm_login más tarde, ya en MLS, debe iniciar sesión como root en staff_r, cambiar a root en sysadm_r usando el comando newrole -r sysadm_r, y luego establecer el booleano a 1.

Pasos de verificación

Verifique que SELinux se ejecuta en modo de refuerzo:
```
getenforce
```
```
# getenforce
Enforcing
```
Copy to Clipboard Toggle word wrap
Comprueba que el estado de SELinux devuelve el valor mls:
```
sestatus | grep mls
```
```
# sestatus | grep mls
Loaded policy name:             mls
```
Copy to Clipboard Toggle word wrap

Recursos adicionales

Las páginas de manual fixfiles(8), setsebool(8), y ssh_selinux(8).

Volver arriba

6.2. Cambiando la política de SELinux a MLS

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Hacer que el código abierto sea más inclusivo

Acerca de Red Hat

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links