Lassen Sie uns ein paar Befehle ausführen, um SELinux unter Rocky Linux 8 über das Befehlsterminal zu deaktivieren oder auszuschalten.
SELinux ist mittlerweile der Standard im Linux-Umfeld, wenn es um den Einsatz von Mandatory Access Control geht. Anfangs hatte das System den Ruf, schwierig zu konfigurieren und nur für Experten nutzbar zu sein. Diese Zeiten sind vorbei. SELinux kann jetzt auch von „normalen“ Admins verwendet und konfiguriert werden.
Nun, in einem herkömmlichen System gibt es viele verschiedene Programme, die alle mit Root-Rechten laufen müssen, um ihre Arbeit erledigen zu können, aber keine vollen Root-Rechte haben sollten (warum sollte Apache Zugriff auf die Mail-Pool-Dateien haben, z Beispiel?). SELinux basiert auf dem TE-Prinzip (Type Enforcement):Alle Ressourcen werden bestimmten Domänen zugewiesen und Zugriffsregeln darauf definiert. Kurz gesagt – alle Dateien sind gelabelt, d.h. einer bestimmten Domain zugeordnet; das bedeutet zum Beispiel, dass allen Dateien, die zu Apache gehören, der Typ „apache_t“ zugewiesen werden kann. Die Apache-Binärdatei ist ebenfalls in diese Domäne eingesteckt. Wenn der Rest des Systems korrekt eingerichtet ist, kann Apache nur auf die Daten zugreifen, die sich in seiner Domäne befinden. Jeglicher Zugriff auf Dateien, die sich in anderen Domänen befinden (z. B. „postfix_t“), wird vom Kernel verhindert.
Wenn also ein Dienst mit der falschen Sicherheitsrichtlinie ausgeführt wird, Dateien in der falschen Domäne, jede Sicherheitsverletzung erkannt wird, schränkt SELinux den Zugriff/die Funktion dieser bestimmten Datei oder Dienste ein.
Diese Sicherheitsschicht des Linux-Systems speichert die Protokolle aller damit verbundenen Aktivitäten unter /var/log/audit/audit.log
Nun, warum muss SELinux deaktiviert werden?
Oft müssen wir Anwendungen ausführen, die SELinux nicht unterstützen, daher müssen wir es entweder dauerhaft deaktivieren oder in einen zulässigen Modus versetzen, um zu verhindern, dass es einen Schlüsselprozess beendet, den wir zum Installieren einer bestimmten Anwendung benötigen.
Schritte zum Deaktivieren von SELinux auf Rocky Linux
1. Anforderungen
• RedHat-basierte Linux-Distributionen wie Rocky Linux 8
• Ein Nicht-Root-Benutzer mit sudo-Zugriff
• Befehlsterminal
2. SELinux-Modi
Es gibt drei Modi, in denen es funktioniert, hier sind diese:
erzwingen – Es bedeutet, dass die SELinux-Sicherheitsrichtlinie durchgesetzt wird.
zulässig – Dadurch werden SELinux-Dienste angehalten und Warnungen ausgegeben, anstatt das Stoppen unerwünschter Prozesse zu erzwingen.
deaktiviert – Es ist keine SELinux-Richtlinie geladen.
3. Überprüfen Sie den Status von SELinux auf Rocky Linux
Bevor Sie fortfahren, SELinux auszuschalten, lassen Sie uns zunächst wissen, wie die aktuelle Situation oder der aktuelle Zustand ist. Gehen Sie dazu zum Befehlsterminal und führen Sie Folgendes aus:
sestatus
Wenn Aktuell und Modusformular-Konfigurationsdateien auf „Erzwingen“ eingestellt sind ”-Modus bedeutet dies, dass SELinux aktiviert ist und den unerwünschten Prozess aktiv einschränkt.
4. Deaktivieren Sie SELinux vorübergehend oder aktivieren Sie den Premmisve-Modus
Wenn bei der Installation eines Programms aufgrund von SELinux ein Fehler auftritt, müssen wir entweder seine Richtlinie so einstellen, dass der Prozess zugelassen wird, oder es in „Premmisve einfügen ”-Modus für Ihre aktuelle Sitzung. Dadurch werden die SELinux-Sicherheitsrichtlinien Ihres Systems bis zum nächsten Systemneustart angehalten. Kurz gesagt, deaktiviert es vorübergehend und kehrt in den Erzwingungsmodus zurück, sobald Sie Ihr System neu starten.
sudo setenforce 0
Zur Überprüfung können Sie erneut den Befehl sestatus ausführen und im Screenshot sehen Sie den "aktuellen Modus" des Systems auf „Permissive“ eingestellt ist “.
5. Aktivieren Sie den permanenten Deaktivierungs- oder Permissivmodus
Nun, wenn Sie den oben angegebenen Befehl ausführen, werden die Dinge vorübergehend eingestellt. Wenn Sie also SELinux dauerhaft deaktivieren oder in den Permissive-Modus versetzen möchten, bleibt dies auch nach dem Systemneustart unverändert. Dann müssen wir die Datei „/etc/sysconfig/selinux bearbeiten “.
sudo dnf -y install nano sudo nano /etc/sysconfig/selinux
Standardmäßig ist der Modus auf „Erzwingen“ eingestellt.
Für die dauerhafte Deaktivierung und den zulässigen Modus setzen Sie einfach SELINUX=disbaled oder SELINUX=permissive nach Ihrer Wahl.
Speichern die Datei Strg+O , drücken Sie die Eingabetaste und dann Strg+X um die Datei zu verlassen.
6. Starten Sie Ihr System neu
Um die Änderungen anzuwenden, die wir durch Bearbeiten der SELinux-Datei vorgenommen haben, starten Sie einfach Ihr Rocky Linux-System neu.
sudo reboot
7. Prüfen Sie den aktuellen Modus
Sobald Sie sich wieder auf dem Terminal Ihres Systems befinden, führen Sie den Befehl aus, um den aktuellen Status zu überprüfen, um zu bestätigen, dass SELinux auf den permanenten oder deaktivierten Modus eingestellt ist.
sestatus
Endnote:
Wenn Sie diesem Tutorial folgen, können Sie SELinux auf Ihrem Rocky Linux deaktivieren. Es wird jedoch empfohlen, den permissiven Messmodus zu verwenden, anstatt den Deaktivierungsmodus zu wählen.