SELinux (Security Enhanced Linux) er et Linux-kernemodul, som giver muligheder for politikker for Mandatory Access Control (MAC). Den leveres med forskellige kommandolinjeværktøjer til præcist at kontrollere de aktiviteter, der er tilladt for et program eller en bruger.
Det kommer forudinstalleret og aktiveret som standard på mange Linux-distributioner, for det meste Red Hat-baserede distributioner som Fedora og CentOS.
Mens SELinux absolut tilbyder et ekstra lag af sikkerhed, er der en løbende debat i brugerfællesskabet, om et sådant ekstra lag overhovedet er påkrævet sammen med allerede eksisterende sikkerhedsprocesser, adgangskodebeskyttelse osv.
Hvis du ønsker at deaktivere SELinux på din computer, der kører CentOS 8, er her en hurtig guide til at gøre det.
Deaktivering af SELinux i CentOS 8
Lad os først køre kommandoen sestatus for at se status for SELinux:
$: sestatus SELinux-status: aktiveret SELinuxfs-montering: /sys/fs/selinux SELinux-rodmappe: /etc/selinux Indlæst politiknavn: målrettet Nuværende tilstand: håndhæver Tilstand fra konfigurationsfil: håndhæver politik MLS-status: aktiveret Politik deny_unknown status: tilladt Hukommelse beskyttelseskontrol: faktisk (sikker) Max kernel policy version: 31Som vist i status, er SELinux i øjeblikket aktiveret på systemet og er indstillet til 'håndhævende' tilstand. Du kan enten indstille den til "tilladende" tilstand eller helt deaktivere den. I dette indlæg vil vi fokusere på at deaktivere SELinux.
For at deaktivere SELinux i CentOS, åben fil /etc/selinux/config og ændre SELINUX=håndhæver eller SELINUX=tilladende værdi til SELINUX=handicappet som vist nedenfor:
# Denne fil styrer tilstanden af SELinux på systemet. # SELINUX= kan tage en af disse tre værdier: # enforcing - SELinux sikkerhedspolitik håndhæves. # permissive - SELinux udskriver advarsler i stedet for at håndhæve. # disabled - Ingen SELinux-politik er indlæst. SELINUX=deaktiveret # SELINUXTYPE= kan tage en af disse tre værdier: # målrettet - Målrettede processer er beskyttet, # minimum - Ændring af målrettet politik. Kun udvalgte processer er beskyttet. # mls - Multi Level Security beskyttelse. SELINUXTYPE=målrettetDa SELinux er et kernemodul, kræver det en genstart af computeren for at kernen kan læse den opdaterede konfigurationsfil og indlæse systemet med SELinux deaktiveret.
sudo shutdown -rKør, når computeren er startet op igen sestatus for at kontrollere, om SELinux er deaktiveret:
$: sestatus SELinux-status: deaktiveret? Skål!