SELinux (Security Enhanced Linux) je modul linuxového jádra, který poskytuje možnosti pro zásady povinného řízení přístupu (MAC). Dodává se s různými nástroji příkazového řádku pro přesné řízení činností povolených programu nebo uživateli.
Dodává se předinstalovaný a ve výchozím nastavení povolený v mnoha distribucích Linuxu, většinou distribucích založených na Red Hatu, jako je Fedora a CentOS.
Zatímco SELinux rozhodně nabízí přidanou vrstvu zabezpečení, v komunitě uživatelů probíhá neustálá debata, zda je taková další vrstva vůbec vyžadována spolu s již existujícími bezpečnostními procesy, ochranou heslem atd.
Pokud chcete deaktivovat SELinux na vašem počítači se systémem CentOS 8, zde je rychlý průvodce, jak tak učinit.
Zakázání SELinuxu v CentOS 8
Nejprve spusťte příkaz stav
zobrazit stav SELinuxu:
$: sestatus Stav SELinux: povoleno Připojení SELinuxfs: /sys/fs/selinux Kořenový adresář SELinux: /etc/selinux Načtený název zásady: cílený Aktuální režim: vynucování Režim z konfiguračního souboru: vynucování Zásady Stav MLS: povoleno Zásady deny_unknown status: povoleno Paměť kontrola ochrany: aktuální (zabezpečená) Max verze zásad jádra: 31
Jak je uvedeno ve stavu, SELinux je v systému aktuálně povolen a je nastaven na režim „vynucování“. Můžete jej buď nastavit na „povolený“ režim, nebo jej zcela zakázat. V tomto příspěvku se zaměříme na deaktivaci SELinuxu.
Chcete-li zakázat SELinux v CentOS, otevřít soubor /etc/selinux/config
a změnit SELINUX=vynucování
nebo SELINUX=povolující
hodnotu k SELINUX=zakázáno
Jak je ukázáno níže:
# Tento soubor řídí stav SELinuxu v systému. # SELINUX= může nabývat jedné z těchto tří hodnot: # vynucování – bezpečnostní politika SELinuxu je vynucována. # permisivní - SELinux místo vynucování vypisuje varování. # vypnuto - Nejsou načteny žádné zásady SELinux. SELINUX=disabled # SELINUXTYPE= může nabývat jedné z těchto tří hodnot: # targeted - Cílené procesy jsou chráněny, # minimum - Modifikace cílené politiky. Chráněny jsou pouze vybrané procesy. # mls - Víceúrovňová bezpečnostní ochrana. SELINUXTYPE=cílený
Vzhledem k tomu, že SELinux je modul jádra, vyžaduje restart počítače, aby jádro načetlo aktualizovaný konfigurační soubor a načetlo systém se zakázaným SELinuxem.
sudo vypnutí -r
Po opětovném spuštění počítače spusťte stav
pro ověření, zda je SELinux zakázán:
$: sestatus Stav SELinux: zakázán
? Na zdraví!