SELinux (Security Enhanced Linux) er en Linux-kjernemodul som gir muligheter for Mandatory Access Control (MAC)-policyer. Den kommer med forskjellige kommandolinjeverktøy for nøyaktig å kontrollere aktivitetene som er tillatt for et program eller en bruker.
Den kommer forhåndsinstallert, og aktivert som standard, på mange Linux-distribusjoner, for det meste Red Hat-baserte distribusjoner som Fedora og CentOS.
Selv om SELinux definitivt tilbyr et ekstra lag med sikkerhet, er det en pågående debatt i brukerfellesskapet om et slikt ekstra lag er nødvendig sammen med allerede eksisterende sikkerhetsprosesser, passordbeskyttelse osv.
Hvis du ønsker å deaktivere SELinux på datamaskinen din som kjører CentOS 8, her er en rask guide for å gjøre det.
Deaktivering av SELinux i CentOS 8
Først, la oss kjøre kommandoen sestatus for å se statusen til SELinux:
$: sestatus SELinux-status: aktivert SELinuxfs-montering: /sys/fs/selinux SELinux-rotkatalog: /etc/selinux Lastet policynavn: målrettet Gjeldende modus: håndhever Modus fra konfigurasjonsfil: håndhever policy MLS-status: aktivert Policy deny_unknown status: tillatt Minne beskyttelseskontroll: faktisk (sikker) Max kjernepolicyversjon: 31Som vist i statusen, er SELinux for øyeblikket aktivert på systemet og er satt til "håndhevende" modus. Du kan enten sette den til "tillatlig" modus eller deaktivere den helt. I dette innlegget skal vi fokusere på å deaktivere SELinux.
For å deaktivere SELinux i CentOS, åpen fil /etc/selinux/config og endre SELINUX=håndhever eller SELINUX=tillatt verdi til SELINUX=funksjonshemmet som vist under:
# Denne filen kontrollerer tilstanden til SELinux på systemet. # SELINUX= kan ta en av disse tre verdiene: # håndheving - SELinux sikkerhetspolicy håndheves. # permissive - SELinux skriver ut advarsler i stedet for å håndheve. # disabled - Ingen SELinux-policy er lastet inn. SELINUX=deaktivert # SELINUXTYPE= kan ta en av disse tre verdiene: # målrettet - Målrettede prosesser er beskyttet, # minimum - Modifisering av målrettet policy. Bare utvalgte prosesser er beskyttet. # mls - Multi Level Security beskyttelse. SELINUXTYPE=målrettetSiden SELinux er en kjernemodul, krever det en omstart av datamaskinen for at kjernen skal lese den oppdaterte konfigurasjonsfilen og laste systemet med SELinux deaktivert.
sudo shutdown -rEtter at datamaskinen starter opp igjen, kjør sestatus for å bekrefte om SELinux er deaktivert:
$: sestatus SELinux-status: deaktivert? Jubel!