Capítulo 7. Aplicación de políticas de seguridad

Durante el proceso de actualización in situ, algunas políticas de seguridad deben permanecer desactivadas. Además, RHEL 8 introduce un nuevo concepto de políticas criptográficas en todo el sistema y también los perfiles de seguridad pueden contener cambios entre las versiones principales. Esta sección le guiará a la hora de asegurar sus sistemas RHEL actualizados.

7.1. Cambiar el modo de SELinux a forzoso

Durante el proceso de actualización in situ, la utilidad Leapp establece el modo SELinux como permisivo. Cuando el sistema se actualiza con éxito, hay que cambiar manualmente el modo SELinux a enforcing.

Requisitos previos

Procedimiento

  1. Asegúrese de que no hay denegaciones de SELinux, por ejemplo, utilizando la utilidad ausearch: 

    # ausearch -m AVC,USER_AVC -ts boot

    Tenga en cuenta que el paso anterior sólo cubre el escenario más común. Para comprobar todas las posibles denegaciones de SELinux, consulte la sección Identificación de denegaciones de SELinux en el título Uso de SELinux, que proporciona un procedimiento completo.

  2. Abra el archivo /etc/selinux/config en un editor de texto de su elección, por ejemplo: 

    # vi /etc/selinux/config

  3. Configure la opción SELINUX=enforcing: 

    # This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#       targeted - Targeted processes are protected,
#       mls - Multi Level Security protection.
SELINUXTYPE=targeted

  4. Guarde el cambio y reinicie el sistema: 

    # reboot

Pasos de verificación

  1. Después de reiniciar el sistema, confirme que el comando getenforce devuelve Enforcing: 

    $ getenforce
Enforcing

Recursos adicionales