Red Hat Training

A Red Hat training course is available for RHEL 8

2.3. Cambio al modo de aplicación

Utilice el siguiente procedimiento para cambiar SELinux al modo de aplicación. Cuando SELinux se ejecuta en modo de aplicación, aplica la política de SELinux y deniega el acceso basándose en las reglas de la política de SELinux. En RHEL, el modo de aplicación está activado por defecto cuando el sistema se instaló inicialmente con SELinux.

Requisitos previos

  • Los paquetes selinux-policy-targeted, libselinux-utils, y policycoreutils están instalados en su sistema.
  • Los parámetros del núcleo selinux=0 o enforcing=0 no se utilizan.

Procedimiento

  1. Abra el archivo /etc/selinux/config en un editor de texto de su elección, por ejemplo: 

    # vi /etc/selinux/config

  2. Configure la opción SELINUX=enforcing: 

    # This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#       targeted - Targeted processes are protected,
#       mls - Multi Level Security protection.
SELINUXTYPE=targeted

  3. Guarde el cambio y reinicie el sistema: 

    # reboot

    En el siguiente arranque, SELinux reetiqueta todos los archivos y directorios dentro del sistema y añade el contexto de SELinux para los archivos y directorios que fueron creados cuando SELinux estaba deshabilitado.

Pasos de verificación

  1. Después de reiniciar el sistema, confirme que el comando getenforce devuelve Enforcing: 

    $ getenforce
Enforcing
Nota

Después de cambiar al modo de aplicación, SELinux puede denegar algunas acciones debido a reglas de política de SELinux incorrectas o ausentes. Para ver qué acciones deniega SELinux, introduzca el siguiente comando como root: 

# ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts today

Alternativamente, con el paquete setroubleshoot-server instalado, introduzca: 

# grep "SELinux is preventing" /var/log/messages

Si SELinux está activo y el demonio de auditoría (auditd) no se está ejecutando en su sistema, entonces busque ciertos mensajes de SELinux en la salida del comando dmesg: 

# dmesg | grep -i -e type=1300 -e type=1400

Para más información, consulte Solución de problemas relacionados con SELinux.