SELinux (Security Enhanced Linux) ist ein Linux-Kernel-Sicherheitsmodul, das Administratoren und Benutzern mehr Kontrolle über Zugriffskontrollen ermöglicht. Es ermöglicht den Zugriff basierend auf SELinux-Richtlinienregeln.
SELinux-Richtlinienregeln legen fest, wie Prozesse und Benutzer miteinander interagieren sowie wie Prozesse und Benutzer mit Dateien interagieren.
Wenn keine SELinux-Richtlinienregel explizit den Zugriff zulässt, z. B. für einen Prozess, der eine Datei öffnet, wird der Zugriff verweigert.
SELinux hat drei Modi:
- Erzwingen:SELinux erlaubt Zugriff basierend auf SELinux-Richtlinienregeln.
- Permissiv:SELinux protokolliert nur Aktionen, die abgelehnt worden wären, wenn es im erzwingenden Modus ausgeführt worden wäre.
- Deaktiviert:Es wird keine SELinux-Richtlinie geladen.
Standardmäßig ist SELinux in CentOS 7 aktiviert und befindet sich im Erzwingungsmodus.
Es wird empfohlen, SELinux im Erzwingungsmodus zu belassen, aber in einigen Fällen müssen Sie es möglicherweise in einen zulässigen Modus versetzen oder vollständig deaktivieren.
In diesem Tutorial zeigen wir Ihnen, wie Sie SELinux auf CentOS 7-Systemen deaktivieren.
Voraussetzungen #
Bevor Sie mit dem Tutorial beginnen, vergewissern Sie sich, dass Sie als Benutzer mit sudo-Berechtigungen angemeldet sind.
Überprüfen Sie den SELinux-Status #
Um den aktuellen SELinux-Status und die auf Ihrem System verwendete SELinux-Richtlinie anzuzeigen, verwenden Sie sestatus
Befehl:
sestatus
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
Sie können der obigen Ausgabe entnehmen, dass SELinux aktiviert und auf den Erzwingungsmodus eingestellt ist.
SELinux deaktivieren #
Sie können den SELinux-Modus vorübergehend von targeted
ändern auf permissive
mit folgendem Befehl:
sudo setenforce 0
Diese Änderung gilt jedoch nur für die aktuelle Laufzeitsitzung.
Führen Sie die folgenden Schritte aus, um SELinux auf Ihrem CentOS 7-System dauerhaft zu deaktivieren:
-
Öffnen Sie die
/etc/selinux/config/etc/selinux/config
Datei und setzen Sie dieSELINUX
mod aufdisabled
:# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
-
Speichern Sie die Datei und starten Sie Ihr CentOS-System neu mit:
sudo shutdown -r now
-
Überprüfen Sie nach dem Hochfahren des Systems die Änderung mit
sestatus
Befehl:sestatus
Die Ausgabe sollte so aussehen:
SELinux status: disabled