Security-Enhanced Linux (SELinux) to architektura zabezpieczeń dla systemów Linux®, która umożliwia administratorom większą kontrolę nad tym, kto ma dostęp do systemu. Początkowo została opracowana przez Narodową Agencję Bezpieczeństwa Stanów Zjednoczonych (NSA) jako seria poprawek do jądra Linux za pomocą modułów zabezpieczeń Linux (LSM).
SELinux został udostępniony społeczności open source w 2000 roku i został zintegrowany z głównym jądrem Linuxa w 2003 roku.
W tym przewodniku pokażę, jak wyłączyć lub wyłączyć SELinux na serwerze CentOS / RHEL / Fedora.
SELinux może znajdować się w stanie włączonym lub wyłączonym. W stanie wyłączonym używane są tylko zasady DAC. W stanie włączonym SELinux może działać w jednym z następujących trybów:
- Enforcing: Zasady polityki SELinux są egzekwowane. SELinux odmawia dostępu na podstawie zasad polityki SELinux.
- Permissive: Polityka SELinux nie jest egzekwowana. SELinux nie odmawia dostępu, ale odmowy są rejestrowane dla działań, które zostałyby odrzucone, gdyby działał w trybie enforcing.
- Disabled : SELinux jest całkowicie wyłączony.
Sprawdź aktualny stan SELinux:
# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33
Jak widać, SELinux działa w trybie enforcing (egzekwowania). Możesz go tymczasowo lub trwale wyłączyć.
Tymczasowo wyłączanie SELinux:
Aby tymczasowo zmienić tryb SELinux na Permissive bez konieczności ponownego uruchamiania systemu, wykonaj następujące polecenie:
setenforce 0
Wyświetlanie bieżącego trybu SELinux:
# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 33
Trwałe wyłączanie SELinux:
Ustaw SELINUX=disabled w /etc/selinux/config pliku:
# Ten plik kontroluje stan SELinux w systemie. # SELINUX= może przyjąć jedną z tych trzech wartości: # enforcing - Polityka bezpieczeństwa SELinux jest egzekwowana.. # permissive - SELinux drukuje ostrzeżenia zamiast egzekwować. # disabled - Nie jest załadowana żadna polityka SELinux.. SELINUX=disabled # SELINUXTYPE= może przyjąć jedną z tych trzech wartości: # targeted - Procesy docelowe są chronione., # minimum - Modyfikacja polityki docelowej. Chronione są tylko wybrane procesy # mls - Ochrona wielopoziomowa. SELINUXTYPE=targeted
Zapisz i zamknij plik. Teraz musisz ponownie uruchomić swój system, aby wprowadzić zmiany.
Jeśli nie chcesz wyłączać SELinux, zapoznaj się z naszym przewodnikiem – How to configure SELinux without turning it off.