Capítulo 7. Aplicação de políticas de segurança
Durante o processo de atualização no local, certas políticas de segurança devem permanecer desabilitadas. Além disso, a RHEL 8 introduz um novo conceito de políticas criptográficas em todo o sistema e também os perfis de segurança podem conter mudanças entre as principais versões. Esta seção o orienta ao proteger seus sistemas RHEL atualizados.
7.1. Alterando o modo SELinux para reforçar
Durante o processo de atualização no local, o utilitário Leapp
define o modo SELinux como permissivo. Quando o sistema é atualizado com sucesso, você tem que mudar manualmente o modo SELinux para o modo de execução.
Pré-requisitos
- O sistema foi atualizado e você executou as etapas de verificação descritas em Verificação do estado pós-atualização do sistema RHEL 8.
Procedimento
Certifique-se de que não haja negações de SELinux, por exemplo, utilizando o utilitário
ausearch
:# ausearch -m AVC,USER_AVC -ts boot
Observe que a etapa anterior abrange apenas o cenário mais comum. Para verificar todas as negações de SELinux possíveis, consulte a seção Identificando negações de SELinux na seção Utilizando o título SELinux, que fornece um procedimento completo.
Abra o arquivo
/etc/selinux/config
em um editor de texto de sua escolha, por exemplo:# vi /etc/selinux/config
Configure a opção
SELINUX=enforcing
:# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
Salve a mudança, e reinicie o sistema:
# reboot
Etapas de verificação
Após o reinício do sistema, confirme que o comando
getenforce
retornaEnforcing
:$ getenforce Enforcing
Recursos adicionais