SELinux steht für Security-Enhanced integrated into RHEL und darauf basierende Betriebssysteme wie CentOS, AlmaLinux und Rocky Linux 8 Linux out of the box. Es ist eine zusätzliche Sicherheitsebene oder Erweiterung des Linux-Kernels, die in Form eines separaten Sicherheitsmoduls verfügbar ist. SELinux ist seit 2003 offizieller Bestandteil des Linux-Kernels.
Einige Linux-Distributionen bieten SELinux standardmäßig an und haben es standardmäßig aktiviert, der Benutzer kann es jedoch deaktivieren, wenn er oder sie möchte. SELinux schränkt die Zugriffsrechte von Programmen oder Prozessen ein, die als nicht notwendig erachtet werden. Somit können sich alle Prozesse willkürlich keinen Zugriff auf das System verschaffen und es ist sinnvoll, die Zugriffsrechte einzuschränken, auch wenn man den Programmen eigentlich vertraut. Es reduziert das Risiko von Sicherheitslücken in Benutzerprogrammen erheblich, wenn die Anwendung von Dritten gehackt oder mit Malware infiziert wird. SELinux schränkt den Zugriff und damit auch den Schadensradius ein. Wir brauchen es jedoch nicht jedes Mal, oft verzögert SELinux Benutzer, einige Anwendungen zu installieren, in solchen Szenarien kann der Benutzer SELinux deaktivieren entweder vorübergehend oder dauerhaft .
Was lernen wir hier?
- SElinux dauerhaft oder vorübergehend in AlmaLinux und Rocky deaktivieren
- Befehl zum Überprüfen des Status von SELinux
- Was ist der zulässige SELinux-Modus
Befehl zum Überprüfen des Status von SELinux
Bevor wir weitermachen, um SELinux zu deaktivieren, wollen wir zuerst den aktuellen Status von SELinux auf unserem AlmaLinuc 8 oder Rocky überprüfen. Damit wir wissen, was wir zu tun haben.
sestatus
Die Ausgabe lautet: Wenn Aktiviert angezeigt wird und Aktueller Modus – erzwingen bedeutet, dass SELinux aktiv und anwendbar ist, um den Prozess der Systemprogramme einzuschränken.
Tatsächlich sind für SELinux drei Modi verfügbar, einer ist „Enforcing “, die Sie im obigen Screenshot sehen können, der alle Richtlinienregeln zeigt, die aktiv für die installierten Programme erzwungen werden. Die zweite ist „Zulässig“ , dieser Modus von SELinux ermöglicht es, alles auszuführen und zu verarbeiten, ohne irgendetwas einzuschränken, jedoch werden die Systemereignisse protokolliert; wobei der dritte Modus „Deaktiviert ist ” , in dem SElinux weder etwas protokolliert noch einen Prozess durch die Anwendung von Richtlinienregeln einschränkt.
Deaktivieren Sie SELinux vorübergehend oder aktivieren Sie den Permissive-Modus
Wenn Sie vorhaben, eine Anwendung zu installieren, die SELinux vorübergehend deaktivieren muss, indem Sie es in den Permissive-Modus versetzen; dann ist hier der Befehl, mit dem Sie dasselbe erreichen können:
sudo setenforce 0 or sudo setenforce Permissive
Um sicherzustellen, dass SELinux erfolgreich in den Permissive-Modus geschaltet wurde, können Sie den Statusbefehl erneut ausführen, um dies zu überprüfen:
sestatus
Ausgabe :
Nun, wie gesagt freizügig Modus ist temporär, also beim Neustart Ihr AlmaLinux-System, kehrt SELinux zum Erzwingen zurück Modus. Wenn Sie es vollständig deaktivieren möchten, lesen Sie die nächsten Befehle…
Deaktivieren Sie SELinux dauerhaft auf AlmaLinux oder Rocky 8
Bisher haben wir gelernt, wie man den Status überprüft und den zulässigen Modus von SELinux aktiviert, jetzt sehen wir uns den Prozess an, um ihn einzubauen und seinen dritten Modus zu aktivieren, der „Deaktiviert“ ist. Dazu müssen wir die config bearbeiten Datei von SELinux.
Verwenden Sie auf Ihrem Befehlsterminal die folgenden zwei Befehle:
sudo dnf install nano sudo nano /etc/sysconfig/selinux
Sie sehen den im folgenden Screenshot gezeigten Text.
Bewegen Sie hier Ihren Cursor auf SELINUX=enforcing und ändern Sie es in:
SELINUX=disbaled
Speichern die Datei durch Drücken von Strg+X , geben Sie Y ein , und drücken Sie dann die Eingabetaste Schlüssel.
Neu starten
Um die Änderungen zu übernehmen und unser SELinux dauerhaft in den deaktivierten Modus zu versetzen, starten Sie Ihren Linux-Server oder Desktop neu.
sudo reboot
Abschlussgedanken:
Das war also der schnelle Weg, um mit SELinux fertig zu werden und es unter AlmaLinux oder Rocky Linux, was auch immer Sie verwenden, entweder in den zulässigen oder dauerhaft deaktivierten Modus zu versetzen.