Linux с усиленной безопасностью (SELinux) — это архитектура безопасности для систем Linux®, которая позволяет администраторам иметь больший контроль над тем, кто может получить доступ к системе. Первоначально он был разработан Агентством национальной безопасности США (NSA) как серия исправлений для ядра Linux с использованием модулей безопасности Linux.
SELinux был выпущен для сообщества разработчиков ПО с открытым исходным кодом в 2000 году и был интегрирован в исходное ядро Linux в 2003 году..
В этом гайде я вам покажу, как отключить временно/перманентно SELinux на CentOS / RHEL / Fedora сервере.
SELinux может быть как во включенном, так и в выключенном состоянии. Когда отключен, используются только правила DAC. При включении SELinux может работать в одном из следующих режимов:
- Enforcing: Политика SELinux применяется. SELinux запрещает доступ на основании правил политики SELinux.
- Permissive: Политика SELinux не применяется. SELinux не запрещает доступ, но отказы регистрируются для действий, которые были бы отклонены при работе в принудительном режиме..
- Disabled : SELinux полностью отключен.
Проверить текущий статус SELinux
# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
Как видите, SELinux находится в режиме enforcing. Вы можете отключить его временно или навсегда.
Отключить SELinux временно
Установить режим SELinux Permissive временно без перезагрузки.
setenforce 0
Просмотреть текущий режим SELinux:
# sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: permissive
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Memory protection checking: actual (secure)
Max kernel policy version: 33
Отключить SELinux перманентно
Настройте SELINUX = disabled в файле /etc/selinux/config:
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
Сохраните и выйдите из файла. Теперь вам нужно перезагрузить вашу систему, чтобы изменения вступили в силу.
Если вы не хотите отключать SELinux, ознакомьтесь с нашим руководством — Как настроить SELinux, не выключая его.