วิธีปิดใช้งาน selinux บน centos 8

Security Enhanced Linux หรือ SELinux เป็นกลไกความปลอดภัยที่สร้างขึ้นในเคอร์เนล Linux ที่ใช้โดยการกระจายแบบอิง RHEL

SELinux เพิ่มเลเยอร์ความปลอดภัยเพิ่มเติมให้กับระบบโดยอนุญาตให้ผู้ดูแลระบบและผู้ใช้ควบคุมการเข้าถึงวัตถุตามกฎนโยบาย

กฎนโยบายของ SELinux ระบุว่ากระบวนการและผู้ใช้โต้ตอบกันอย่างไรรวมถึงกระบวนการและผู้ใช้โต้ตอบกับไฟล์อย่างไร เมื่อไม่มีกฎที่อนุญาตการเข้าถึงวัตถุอย่างชัดเจนเช่นสำหรับกระบวนการเปิดไฟล์การเข้าถึงจะถูกปฏิเสธ

SELinux มีโหมดการทำงานสามโหมด:

• การบังคับใช้: SELinux อนุญาตการเข้าถึงตามกฎนโยบายของ SELinux การอนุญาต: SELinux จะบันทึกเฉพาะการกระทำที่จะถูกปฏิเสธหากทำงานในโหมดบังคับใช้ โหมดนี้มีประโยชน์สำหรับการดีบักและสร้างกฎนโยบายใหม่ปิดใช้งาน: ไม่โหลดนโยบาย SELinux และไม่มีข้อความใดถูกบันทึก

โดยค่าเริ่มต้นใน CentOS 8, SELinux เปิดใช้งานและอยู่ในโหมดบังคับใช้ แนะนำเป็นอย่างยิ่งว่าให้ SELinux อยู่ในโหมดบังคับใช้ อย่างไรก็ตามบางครั้งมันอาจรบกวนการทำงานของบางแอพพลิเคชั่นและคุณจำเป็นต้องตั้งค่าเป็นโหมดที่อนุญาตหรือปิดการใช้งานอย่างสมบูรณ์

ในบทช่วยสอนนี้เราจะอธิบายให้ปิดการใช้งาน SELinux บน CentOS 8

ข้อกำหนดเบื้องต้น

เฉพาะผู้ใช้รูทหรือผู้ใช้ที่มีสิทธิ์ sudo เท่านั้นที่สามารถเปลี่ยนโหมด SELinux

ตรวจสอบโหมด SELinux

ใช้คำสั่ง sestatus เพื่อตรวจสอบสถานะและโหมดที่ SELinux กำลังทำงาน:

sestatus

SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Memory protection checking: actual (secure) Max kernel policy version: 31

ผลลัพธ์ข้างต้นแสดงว่า SELinux เปิดใช้งานและตั้งค่าเป็นโหมดบังคับใช้

การเปลี่ยนโหมด SELinux เป็นอนุญาต

เมื่อเปิดใช้งาน SELinux สามารถอยู่ในโหมดบังคับใช้หรืออนุญาต คุณสามารถเปลี่ยนโหมดชั่วคราวจากเป้าหมายเป็นอนุญาตด้วยคำสั่งต่อไปนี้:

sudo setenforce 0

อย่างไรก็ตามการเปลี่ยนแปลงนี้ใช้ได้กับเซสชันรันไทม์ปัจจุบันเท่านั้นและไม่คงอยู่ระหว่างการรีบูต

หากต้องการตั้งค่าโหมด SELinux อย่างถาวรให้ทำตามขั้นตอนด้านล่าง:

1. เปิดไฟล์ /etc/selinux/config และตั้งค่า SELINUX mod เป็นที่ permissive :

   / etc / selinux / config

   # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted

   บันทึกไฟล์และรันคำสั่ง setenforce 0 เพื่อเปลี่ยนโหมด SELinux สำหรับเซสชันปัจจุบัน:

   sudo shutdown -r now

ปิดการใช้งาน SELinux

แทนที่จะปิดใช้งาน SELinux ขอแนะนำอย่างยิ่งให้เปลี่ยนโหมดการอนุญาต ปิดใช้งาน SELinux เฉพาะเมื่อจำเป็นสำหรับการทำงานที่เหมาะสมของแอปพลิเคชันของคุณ

ทำตามขั้นตอนด้านล่างเพื่อปิดใช้งาน SELinux บนระบบ CentOS 8 ของคุณอย่างถาวร:

1. เปิดไฟล์ /etc/selinux/config และเปลี่ยนค่า SELINUX เป็น disabled :

   / etc / selinux / config

   # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted

   บันทึกไฟล์และรีบูตระบบ:

   sudo shutdown -r now

   เมื่อระบบถูกบูทให้ใช้คำสั่ง sestatus เพื่อตรวจสอบว่า SELinux ถูกปิดใช้งาน:

   sestatus

   ผลลัพธ์ควรมีลักษณะดังนี้:

   SELinux status: disabled

ข้อสรุป

SELinux เป็นกลไกในการรักษาความปลอดภัยของระบบโดยการบังคับใช้การควบคุมการเข้าถึง (MAC) SELinux เปิดใช้งานตามค่าเริ่มต้นในระบบ CentOS 8 แต่สามารถปิดใช้งานได้โดยแก้ไขไฟล์การกำหนดค่าและรีบูตระบบ

หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับคุณสมบัติอันทรงพลังของ SELinux ให้ไปที่คู่มือ CentOS SELinux

หากคุณมีคำถามหรือข้อเสนอแนะโปรดออกความคิดเห็นด้านล่าง

ศูนย์ความปลอดภัย