Las secciones siguientes describen los archivos de configuraci�n y sistemas de archivos relacionados con SELinux.
21.2.1. El pseudo sistema de archivos /selinux/
El pseudo-sistema de archivos /selinux/ contiene los comandos que son utilizados m�s a menudo por el subsistema del kernel. Este tipo de sistema de archivos es similar al pseudo sistema /proc/.
En la mayor�a de los casos, los administradores y usuarios no necesitan manipular este componente, en comparaci�n con otros archivos y directorios SELinux.
El ejemplo siguiente presenta contenidos de muestra del directorio /selinux/:
Por ejemplo, al ejecutar el comando cat en el archivo enforce revela un 1, para el modo impositivo, o un 0, para el modo permisivo.
21.2.2. Archivos de configuraci�n de SELinux
Las secciones siguientes describen los archivos de configuraci�n y de pol�ticas para SELinux, y los sistemas de archivos relacionados localizados en el directorio /etc/.
21.2.2.1. El archivo de configuraci�n /etc/sysconfig/selinux
Hay dos formas de configurar SELinux bajo Red Hat Enterprise Linux: usando el Herramienta de configuraci�n de nivel de seguridad (system-config-securitylevel), o manualmente editando el archivo de configuraci�n (/etc/sysconfig/selinux).
El archivo /etc/sysconfig/selinux es el archivo de configuraci�n principal para habilitar o inhabilitar SELinux, as� como tambi�n para configurar cu�l pol�tica de debe imponer en el sistema y c�mo hacerlo.
Nota
El archivo /etc/sysconfig/selinux contiene un enlace simb�lico al archivo de configuraci�n real, /etc/selinux/config.
A continuaci�n se explica el subconjunto completo de opciones disponibles para la configuraci�n:
SELINUX=<enforcing|permissive|disabled> — Define el estado superior para SELinux en un sistema.
enforcing o 'impositivo' — Se impone la pol�tica de seguridad SELinux.
permissive o 'permisivo' — El sistema SELinux advierte pero no impone la pol�tica. Esto es �til para prop�sitos de depuraci�n o de resoluci�n de problemas. En modo permisivo, se registrar�n m�s rechazos, pues los sujetos podr�n continuar con acciones que de lo contrario ser�an rechazadas en el modo impositivo. Por ejemplo, navegar en un �rbol de directorios producir� varios mensajes de avc: denied para cada nivel de directorio le�do, pero un kernel en modo impositivo habr�a detenido la primera acci�n de este tipo, previniendo que se produjeran m�s mensajes de rechazo.
disabled o 'inhabilitado' — SELinux est� completamente desactivado. Los ganchos de SELinux no est�n conectados al kernel y el pseudo sistema de archivos no est� registrado.
Sugerencia
Las acciones realizadas mientras SELinux est� inhabilitado pueden provocar que el sistema de archivos ya no tenga el contexto de seguridad adecuado como se defini� en la pol�tica. La ejecuci�n de fixfiles relabel antes de activar SELinux volver� a etiquetar el sistema de archivos para que SELinux funcione adecuadamente cuando est� activo. Para m�s informaci�n, consulte la p�gina man de fixfiles(8).
Nota
Si se dejan espacios en blanco adicionales al final de una l�nea de configuraci�n o como l�neas extra al final de un archivo, se puede causar un comportamiento inesperado. Para ser precavidos, elimine cualquier espacio en blanco.
SELINUXTYPE=<targeted|strict> — Especifica cu�l pol�tica est� siendo implantada actualmente por SELinux.
targeted (objetivo) — Solamente se protegen ciertos demonios particulares.
Importante
Los siguientes demonios son protegidos en la pol�tica de objetivos predeterminada:dhcpd, httpd (apache.te), named, nscd, ntpd, portmap, snmpd, squid, y syslogd. El resto del sistema se ejecuta en el dominio unconfined_t (ilimitado).
Los archivos de pol�ticas para estos demonios se pueden encontrar en /etc/selinux/targeted/src/policy/domains/program y est�n sujetos a cambios, a medida que se publiquen versiones m�s nuevas de Red Hat Enterprise Linux.
La imposici�n de pol�ticas para estos demonios se puede activar y desactivar, utilizando valores boleanos controlados por Herramienta de configuraci�n de nivel de seguridad (system-config-securitylevel). Al activar un valor boleano para un demonio objetivo se desactiva la transici�n de pol�ticas para ese demonio, lo que previene, por ejemplo, que init pase a dhcpd desde el dominio unconfined_t (ilimitado) al dominio especificado en dhcpd.te. El dominio unconfined_t permite a los sujetos y objetos con ese contexto de seguridad a ejecutarse bajo la seguridad est�ndar de Linux.
strict (estricta) — Protecci�n SELinux completa, para todos los demonios. Se definen los contextos de seguridad para todos los sujetos y objetos y cada simple acci�n es procesada por el servidor de aplicaci�n de pol�ticas.
21.2.2.2. El directorio /etc/selinux/
El directorio /etc/selinux/ es la ubicaci�n principal para todos los archivos de pol�ticas as� como tambi�n para el archivo de configuraci�n principal.
El ejemplo siguiente presenta contenidos de muestra del directorio /etc/selinux/:
Los dos subdirectorios, strict/ y targeted/, son los directorios espec�ficos donde se contienen los archivos de pol�ticas del mismo nombre (por ejemplo, strict y targeted).
Para m�s informaci�n sobre las pol�ticas de SELinux y su configuraci�n, consulte el Gu�a para escribir pol�ticas SELinux de Red Hat.
21.2.3. Utilidades para SELinux
Los siguientes son algunos de los programas de utilidades usados m�s a menudo por SELinux
/usr/bin/setenforce — Modifica en tiempo real el modo en que se ejecuta SELinux. Al ejecutar setenforce 1, se coloca SELinux en modo impositivo. Al ejecutar setenforce 0, SELinux se coloca en modo permisivo. Para desactivar SELinux, se necesita que configure el par�metro en /etc/sysconfig/selinux o que pase el par�metro selinux=0 al kernel, bien sea en /etc/grub.conf o al momento del arranque.
/usr/bin/sestatus -v — obtiene el estado detallado de un sistema ejecutando SELinux. El ejemplo siguiente muestra un extracto de la salida sestatus:
/usr/bin/newrole — Ejecuta un nuevo shell en un nuevo contexto o papel. La pol�tica debe permitir la transici�n al nuevo papel.
/sbin/restorecon — Configura el contexto de seguridad de uno o m�s archivos, marcando los atributos extendidos con el archivo apropiado o contexto de seguridad.
/sbin/fixfiles — Verifica o corrige la base de datos del contexto de seguridad en el sistema de archivos.
Consulte la p�gina man asociada con estas utilidades para m�s informaci�n.
Para m�s informaci�n sobre todas las utilidades binarias disponibles, refi�rase a los contenidos del paquete setools o policycoreutils, ejecutando rpm -ql <package-name>, donde <package-name> es el nombre del paquete espec�fico.