Capítulo 7. Aplicação de políticas de segurança

Durante o processo de atualização no local, certas políticas de segurança devem permanecer desabilitadas. Além disso, a RHEL 8 introduz um novo conceito de políticas criptográficas em todo o sistema e também os perfis de segurança podem conter mudanças entre as principais versões. Esta seção o orienta ao proteger seus sistemas RHEL atualizados.

7.1. Alterando o modo SELinux para reforçar

Durante o processo de atualização no local, o utilitário Leapp define o modo SELinux como permissivo. Quando o sistema é atualizado com sucesso, você tem que mudar manualmente o modo SELinux para o modo de execução.

Pré-requisitos

Procedimento

  1. Certifique-se de que não haja negações de SELinux, por exemplo, utilizando o utilitário ausearch:

    # ausearch -m AVC,USER_AVC -ts boot

    Observe que a etapa anterior abrange apenas o cenário mais comum. Para verificar todas as negações de SELinux possíveis, consulte a seção Identificando negações de SELinux na seção Utilizando o título SELinux, que fornece um procedimento completo.

  2. Abra o arquivo /etc/selinux/config em um editor de texto de sua escolha, por exemplo:

    # vi /etc/selinux/config
  3. Configure a opção SELINUX=enforcing:

    # This file controls the state of SELinux on the system.
    # SELINUX= can take one of these three values:
    #       enforcing - SELinux security policy is enforced.
    #       permissive - SELinux prints warnings instead of enforcing.
    #       disabled - No SELinux policy is loaded.
    SELINUX=enforcing
    # SELINUXTYPE= can take one of these two values:
    #       targeted - Targeted processes are protected,
    #       mls - Multi Level Security protection.
    SELINUXTYPE=targeted
  4. Salve a mudança, e reinicie o sistema:

    # reboot

Etapas de verificação

  1. Após o reinício do sistema, confirme que o comando getenforce retorna Enforcing:

    $ getenforce
    Enforcing