SELinux

Linux с усиленной безопасностью (SELinux) — это архитектура безопасности для систем Linux®, которая позволяет администраторам иметь больший контроль над тем, кто может получить доступ к системе. Первоначально он был разработан Агентством национальной безопасности США (NSA) как серия исправлений для ядра Linux с использованием модулей безопасности Linux.

SELinux был выпущен для сообщества разработчиков ПО с открытым исходным кодом в 2000 году и был интегрирован в исходное ядро Linux в 2003 году..

В этом гайде я вам покажу, как отключить временно/перманентно SELinux на CentOS / RHEL / Fedora сервере.

SELinux может быть как во включенном, так и в выключенном состоянии. Когда отключен, используются только правила DAC. При включении SELinux может работать в одном из следующих режимов:

  • Enforcing: Политика SELinux применяется. SELinux запрещает доступ на основании правил политики SELinux.
  • Permissive: Политика SELinux не применяется. SELinux не запрещает доступ, но отказы регистрируются для действий, которые были бы отклонены при работе в принудительном режиме..
  • Disabled : SELinux полностью отключен.

Проверить текущий статус SELinux

# sestatus 
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33

Как видите, SELinux находится в режиме enforcing. Вы можете отключить его временно или навсегда.

Отключить SELinux временно

Установить режим SELinux Permissive временно без перезагрузки.

setenforce 0

Просмотреть текущий режим SELinux:

# sestatus 
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33

Отключить SELinux перманентно

Настройте SELINUX = disabled в файле /etc/selinux/config:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

Сохраните и выйдите из файла. Теперь вам нужно перезагрузить вашу систему, чтобы изменения вступили в силу.

Если вы не хотите отключать SELinux, ознакомьтесь с нашим руководством — Как настроить SELinux, не выключая его.