SELinux, das für Security Enhanced Linux steht, ist eine zusätzliche Ebene der Sicherheitskontrolle, die für Linux-Systeme entwickelt wurde. Die ursprüngliche Version von SELinux wurde von der NSA entwickelt. Andere wichtige Mitwirkende sind Red Hat, das es standardmäßig in seinem eigenen RHEL und seinen abgeleiteten Linux-Distributionen, einschließlich CentOS 7, aktiviert hat.
Obwohl SELinux unser System durch Zugriffskontrolle für Programme und Systemdienste schützen kann, es ist nicht immer notwendig, es zu aktivieren. Einige Benutzer stellen möglicherweise sogar fest, dass es bestimmte Programme stört, die sie zu installieren versuchen. In diesem Tutorial gehen wir die Schritt-für-Schritt-Anleitung durch, um SELinux unter CentOS 7 Linux zu deaktivieren.
In diesem Tutorial lernen Sie:
- So überprüfen Sie den Status von SELinux
- So versetzen Sie SELinux in den Permissive-Modus
- So deaktivieren Sie SELinux unter CentOS 7
| Kategorie | Anforderungen, Konventionen oder verwendete Softwareversion |
|---|---|
| System | CentOS 7 |
| Software | SELinux |
| Andere | Privilegierter Zugriff auf Ihr Linux-System als root oder über sudo Befehl. |
| Konventionen | # – erfordert, dass bestimmte Linux-Befehle mit Root-Rechten ausgeführt werden, entweder direkt als Root-Benutzer oder durch Verwendung von sudo Befehl$ – erfordert, dass bestimmte Linux-Befehle als normaler, nicht privilegierter Benutzer ausgeführt werden |
So überprüfen Sie den Status von SELinux
Sie können den aktuellen Status von SELinux jederzeit überprüfen, indem Sie den folgenden Befehl ausführen.
$ sestatus
Auf unserem CentOS 7-System zeigt der obige Screenshot, dass der „aktuelle Modus“ von SELinux erzwungen wird.
Eine noch einfachere Möglichkeit, den Status schnell zu überprüfen, ist mit getenforce Befehl, der nur den aktuellen Modus von SELinux und sonst nichts ausgibt.
$ getenforce Enforcing
SELinux hat drei mögliche Modi, die Sie sehen können, wenn Sie den Befehl ausführen. Sie sind:
- Durchsetzung – SELinux ist aktiv und setzt seine Richtlinienregeln durch.
- Zulässig – SELinux lässt alles zu, protokolliert aber die Ereignisse, die es normalerweise im Erzwingungsmodus ablehnen würde.
- Deaktiviert – SELinux erzwingt keine Regeln und protokolliert nichts.
Schritt-für-Schritt-Anleitung zum Deaktivieren von SELinux unter CentOS 7
Abhängig von Ihren Anforderungen kann das Deaktivieren von SELinux entweder das Ändern in den zulässigen Modus oder das vollständige Deaktivieren umfassen.
Wenn Sie SELinux in den Permissive-Modus versetzen, werden alle Aspekte von SELinux mit Ausnahme der Protokollierung von Meldungen deaktiviert. Wir müssen unser System nicht neu starten, damit diese Änderung wirksam wird, und wir können die Änderung vornehmen, indem wir den folgenden Befehl ausführen.
$ sudo setenforce 0 OR # setenforce 0
Sie können die Änderung überprüfen, indem Sie den aktuellen Modus von SELinux erneut überprüfen, entweder mit dem sestatus oder getenforce Befehl.
Wenn Sie das System neu starten, wechselt SELinux zurück in den Erzwingungsmodus. Wenn Sie möchten, dass die Änderung dauerhaft ist, können Sie die folgende Schritt-für-Schritt-Anleitung verwenden, um SELinux vollständig zu deaktivieren oder im zulässigen Modus zu belassen.
- Verwenden Sie nano oder Ihren bevorzugten Texteditor, um die SELinux-Konfigurationsdatei zu öffnen, die sich in
/etc/selinux/configbefindet . Sie müssen dies mit dem Root-Konto oder dem Befehl sudo tun.$ sudo nano /etc/selinux/config
- Ändern Sie die Zeile SELINUX=enforcing entweder auf „permissive“ oder „disabled“, je nach der von Ihnen bevorzugten Einstellung. Verlassen Sie dann diese Datei, nachdem Sie Ihre Änderungen darin gespeichert haben.
SELINUX=disabled
- Sobald Sie das System neu starten, wird SELinux vollständig deaktiviert. Um jetzt einen Neustart zu vermeiden, führen Sie
setenforce 0aus Befehl wie oben erklärt, um sofortige Ergebnisse zu erhalten, während Sie bis zum nächsten Neustart warten.$ reboot
Abschlussgedanken
In diesem Tutorial haben wir gesehen, wie man SELinux auf einem CentOS 7-Linux-System deaktiviert, indem man den aktuellen Modus auf Permissiv setzt und SELinux vollständig deaktiviert. SELinux ist eine hilfreiche Funktion, die nur nach vorheriger Überlegung oder in Testumgebungen deaktiviert werden sollte.