SELinux-Modi
SELinux läuft in einem von drei Modi (oder Zuständen).
Durchsetzung
Dies ist der Standardzustand, der die SELinux-Sicherheitsrichtlinie erzwingt. Der Zugriff wird Benutzern und Programmen verweigert, es sei denn, dies ist durch die Regeln der SELinux-Sicherheitsrichtlinie zulässig. Alle Ablehnungsmeldungen werden als AVC-Verweigerungen (Access Vector Cache) protokolliert.
Zulässig
Dies ist ein diagnostischer Zustand. Die Regeln der Sicherheitsrichtlinie werden nicht erzwungen, aber SELinux sendet Ablehnungsmeldungen an eine Protokolldatei. Dadurch können Sie sehen, was verweigert worden wäre, wenn SELinux im Erzwingungsmodus ausgeführt worden wäre.
Deaktiviert
SELinux erzwingt keine Sicherheitsrichtlinie, da keine Richtlinie im Kernel geladen ist. Für die Zugriffskontrolle werden nur DAC-Regeln verwendet.
SELinux-Modi einstellen
Es gibt mehrere Möglichkeiten, den SELinux-Modus einzustellen. Eine Möglichkeit besteht darin, den Modus aus der Statusansicht in der SELinux-GUI auszuwählen. Sie können auch die Hauptkonfigurationsdatei für SELinux bearbeiten, /etc/selinux/config. Stellen Sie den Modus ein, indem Sie die SELINUX-Direktive in dieser Datei ändern. So stellen Sie den Modus beispielsweise auf Erzwingen ein:
# vim /etc/selinux/config SELINUX=enforcing
Der Befehl setenforce wird verwendet, um zwischen dem Enforcing- und dem Permissive-Modus zu wechseln. Mit diesem Befehl vorgenommene Änderungen bleiben bei Neustarts nicht erhalten. So wechseln Sie in den Erzwingungsmodus:
# setenforce 1
So wechseln Sie in den zulässigen Modus:
# setenforce 0
Anzeigen Sie den SELinux-Modus
Verwenden Sie den Befehl getenforce, um den aktuellen SELinux-Modus anzuzeigen:
# getenforce EnforcingLeitfaden für Anfänger zu SELinux
So deaktivieren oder setzen Sie SELinux in den Permissive-Modus
So überprüfen Sie, ob SELinux aktiviert oder deaktiviert ist
So aktivieren/deaktivieren Sie SELinux-Modi in RHEL/CentOS
Verständnis SELinux-Richtlinien in Linux