Frage:Wie kann SELinux (Security Enhanced Linux) vollständig deaktiviert oder in den „zulässigen“ Modus versetzt werden?
Antwort :
SELinux verleiht den Ressourcen im System diese zusätzliche Sicherheitsebene. Es bietet im Gegensatz zum DAC (Discretionary Access Control) die MAC (Mandatory Access Control). Bevor wir in die Einstellung der SELinux-Modi eintauchen, lassen Sie uns sehen, was die verschiedenen SELinux-Betriebsmodi sind und wie sie funktionieren. SELinux kann in jedem der 3 Modi betrieben werden:
1. Erzwungen :Aktionen, die der Richtlinie zuwiderlaufen, werden blockiert und ein entsprechendes Ereignis wird im Audit-Log protokolliert.
2. Zulässig :Richtlinienwidrige Aktionen werden nur im Audit-Log protokolliert.
3. Deaktiviert :SELinux wird vollständig deaktiviert.
Zum vollständigen Deaktivieren von SELinux , verwenden Sie eine dieser Methoden:
1. Bearbeiten Sie /etc/selinux/config (Neustart erforderlich)
Ändern Sie den SELINUX-Wert in SELINUX=disabled in der Datei /etc/selinux/config.
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
Starten Sie den Server neu.
# shutdown -r now
2. Kernel-Startoptionen anhängen
Bearbeiten Sie die Kernel-Startzeile in /boot/grub/grub.conf und hängen Sie selinux=0 an zu den Kernel-Boot-Optionen. Zum Beispiel:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet selinux=0 initrd /initrd-2.6.9-42.ELsmp.img
Starten Sie den Server neu.
# shutdown -r now
Um SELinux in den Zulässigen Modus zu versetzen , verwenden Sie eine dieser Methoden:
1. Setzen Sie den SELinux-Modus auf Permissive Temporary (ohne Neustart)
Der Befehl setenforce wird verwendet, um zwischen dem Enforcing- und dem Permissive-Modus zu wechseln. So wechseln Sie in den zulässigen Modus:
# setenforce 0
Verwenden Sie den Befehl getenforce, um den aktuellen SELinux-Modus anzuzeigen:
# getenforce Permissive
2. SELinux dauerhaft in den Permissive-Modus versetzen
a. Bearbeiten Sie /etc/selinux/config
Ändern Sie den SELINUX-Wert in „SELINUX=permissive“
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
b. Kernel-Startoptionen anhängen
Bearbeiten Sie die Boot-Zeile des Kernels und hängen Sie “enforcing=0” an zu den Kernel-Startoptionen (vorausgesetzt, SELinux ist nicht wie im obigen Abschnitt deaktiviert). Zum Beispiel:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0 initrd /initrd-2.6.9-42.ELsmp.img
Starten Sie den Server neu.
# shutdown -r now
Geben Sie Folgendes aus, um den Status von SELinux zu überprüfen:
# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28So überprüfen Sie, ob SELinux aktiviert oder deaktiviert ist