Wenn Sie SELinux bereits kennen und sich der Risiken voll und ganz bewusst sind, denen Sie beim Deaktivieren begegnen würden, gehen Sie wie folgt vor.
- Öffnen Sie die Konfigurationsdatei /etc/selinux/config oder seinen symbolischen Link /etc/sysconfig/selinux .
- Ändern Sie die Zeile von SELINUX=enforcing auf SELINUX=deaktiviert
- Starten Sie das System neu oder verwenden Sie setenforce 0 um die Änderung sofort aufzurufen.
Lesen Sie diesen Artikel für detailliertere Informationen darüber, was SELinux ist, wie SELinux deaktiviert wird und warum es nicht immer eine gute Idee ist, SELinux zu deaktivieren.
Was ist SELinux?
SELinux steht für Security Enhanced Linux. Es handelt sich um einen Kennzeichnungsmechanismus, um Dateien und anderen Objekten im System hohen Schutz vor nicht autorisierten Prozessen und auch autorisierten Prozessen zu bieten, die keinen solchen Zugriff haben oder benötigen, um Missbrauch zu vermeiden.
Man kann SELinux in jedem bestehenden Linux-System installieren. Diese Verwendung ist nicht für alle individuellen Benutzer nützlich, aber für Serversysteme unerlässlich.
Seine Sicherheitsstarrheit kann durch die Tatsache verstanden werden, dass mit SELinux Root-eigene Prozesse, selbst wenn sie gehackt werden, nicht auf die Dateien zugreifen können, denen kein Zugriff gewährt wird.
Wie SELinux funktioniert?
SELinux erzwingt die Zugriffsrichtlinie, die vom Kernel befolgt wird, wenn ein Prozess auf eine Datei oder ein Objekt zugreifen muss. Unter der Richtlinie wird jeder Datei oder jedem Prozess ein Label zugewiesen. Wenn also ein Prozess mit einem Label a:a:a auf die Datei (mit Label b:b:b) zugreifen muss, sollten beide übereinstimmen (mit Ausnahme der MLS-Konfiguration, in der die Hierarchie gemäß der Richtlinie befolgt wird).
Lesen Sie hier und hier mehr über die Kennzeichnung.
Beachten Sie, dass das Deaktivieren von SELinux auf einem Server viele Bedrohungen für das System zurückbringt. Stellen Sie sicher, dass Sie dies weder aus Bequemlichkeit noch aus spekulativen Inhalten in Artikeln tun, sondern aus einem triftigen Grund.
Nachteile der Deaktivierung von SE Linux
Beim Deaktivieren von SELinux hat jeder Prozess Zugriff auf Dateien wie in einem normalen Linux-System. Rechtsmissbrauch kann nicht verhindert werden. Ein gehackter Prozess kann Zugriff auf geheime Dateien erlangen, die für seinen ursprünglichen Zweck nicht benötigt werden und möglicherweise missbraucht werden. Dies ist ein ernstes Problem.
Wenn ein Prozess mit Root-Berechtigung kompromittiert wird, ist das gesamte System gefährdet. Was SELinux bietet, ist eine strengere Sicherheit. Erfahren Sie hier mehr über Risiken.
Warum sollten Sie SELinux deaktivieren, wenn es sich um eine Sicherheitsfunktion handelt?
Denn oft werden extreme Sicherheitsfeatures zur Qual. Dasselbe gilt für SELinux.
Da es viel zu streng ist, auf welche Dateien durch welchen Prozess zugegriffen werden kann, wird es Ihnen schwer fallen, verschiedene Dienste auf Ihrem Server ordnungsgemäß zum Laufen zu bringen.
Wenn beispielsweise Dateien in /var/lib Root gehören und die Dateiberechtigungen 000 haben, wird das Programm, das diese Dateien benötigt, nicht ausgeführt.
Auch wenn Sie eine Anwendung debuggen, wird SELinux zu einem Problem. Das Deaktivieren erspart Ihnen Kopfschmerzen.
Tipp:Verwenden Sie den permissiven Modus mit SELinux
Eine relativ bessere Vorgehensweise besteht darin, SELinux in den zulässigen Modus zu versetzen, bevor Sie Ihre Anwendung bereitstellen oder Ihr Problem debuggen, und es danach wieder zu aktivieren.
Der zulässige Modus funktioniert so, als ob SELinux deaktiviert wäre, aber gleichzeitig wird protokolliert, als ob SELinux aktiviert wäre.
Auf diese Weise können Sie den /var/log/messages-Protokollen entnehmen, was mit Ihrer Anwendung passieren würde, wenn SELinux aktiviert wäre. Auf Ablehnungsmeldungen prüfen.
Beachten Sie, dass Ihr System im Permissive-Modus nicht durch SELinux-Richtlinien geschützt ist.
Deaktivieren Sie SELinux in CentOS und anderen Linux-Distributionen
Sie können SELinux mit den folgenden Schritten deaktivieren. Obwohl diese Befehle in CentOS getestet wurden, sollten sie perfekt in Fedora und Red Hat Linux funktionieren.
Ich denke, die gleichen Schritte sollten auch für andere Linux-Distributionen gelten. Wenn nicht, teilen Sie uns dies bitte im Kommentarbereich mit.
Überprüfen Sie zuerst den SELinux-Status mit sestatus Befehl.
SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31Wenn SELinux aktiviert ist und sich im Erzwingungsmodus befindet, können Sie es mit diesen Schritten deaktivieren.
Schritt 1: Öffnen Sie die Konfigurationsdatei /etc/selinux/config oder seinen symbolischen Link /etc/sysconfig/selinux
Schritt 2: Ändern Sie die Zeile von SELINUX=enforcing zu SELINUX=disabled .
Schritt 3: Starten Sie das System neu oder verwenden Sie setenforce 0 um den SELinux-Modus für die aktuelle Sitzung zu ändern, und die Änderung wird beim Neustart aktiv.
Hinweis :Um SELinux in den Permissive-Modus zu versetzen, ändern Sie die Konfigurationsdatei so, dass sie SELINUX=permissive
enthältWie aktiviere ich SELinux wieder?
Wie bereits erwähnt, möchten Sie SELinux möglicherweise erneut aktivieren, nachdem Sie Ihr Problem behoben oder Ihre Anwendung bereitgestellt haben. Tatsächlich ist es vielleicht die beste Idee, SELinux vorübergehend zu deaktivieren.
Sie können SELinux wieder aktivieren, indem Sie die zuvor vorgenommenen Änderungen rückgängig machen.
Schritt 1: Öffnen Sie erneut die Datei /etc/selinux/config oder /etc/sysconfig/selinux.
Schritt 2: Ändern Sie diesmal die Zeile in SELINUX=enforcing
Schritt 3: Starten Sie am Ende das System neu oder verwenden Sie den Befehl setenforce 1 um SELinux sofort durchzusetzen.
Ich hoffe, ich habe ein paar Dinge über SELinux klargestellt, wie z
Wenn Sie Fragen oder Verbesserungsvorschläge zu diesem Artikel haben, teilen Sie uns dies bitte im Kommentarbereich unten mit. Teilen Sie auch Ihre Meinung zum Deaktivieren von SELinux mit.