SELinux (Security Enhanced Linux) är en Linux-kärnmodul som ger alternativ för MAC-policyer (Mantatory Access Control). Den levereras med olika kommandoradsverktyg för att exakt kontrollera de aktiviteter som är tillåtna för ett program eller en användare.
Det kommer förinstallerat och aktiverat som standard på många Linux-distributioner, mestadels Red Hat-baserade distributioner som Fedora och CentOS.
Medan SELinux definitivt erbjuder ett extra lager av säkerhet, finns det en pågående debatt i användargemenskapen om ett sådant ytterligare lager behövs tillsammans med redan befintliga säkerhetsprocesser, lösenordsskydd, etc.
Om du vill inaktivera SELinux på din dator som kör CentOS 8, här är en snabbguide för att göra det.
Inaktiverar SELinux i CentOS 8
Låt oss först köra kommandot sestatus
för att se status för SELinux:
$: sestatus SELinux-status: aktiverad SELinuxfs-montering: /sys/fs/selinux SELinux rotkatalog: /etc/selinux Laddat policynamn: riktad Aktuellt läge: upprätthåller Läge från konfigurationsfil: upprätthåller policy MLS-status: aktiverad Policy deny_unknown status: tillåtet Minne skyddskontroll: faktisk (säker) Max kärnpolicyversion: 31
Som visas i statusen är SELinux för närvarande aktiverat på systemet och är inställt på "framtvingande" läge. Du kan antingen ställa in den till "tillåtande" läge eller helt inaktivera den. I det här inlägget kommer vi att fokusera på att inaktivera SELinux.
För att inaktivera SELinux i CentOS, öppna fil /etc/selinux/config
och ändra SELINUX=upprätthållande
eller SELINUX=tillåtande
värde till SELINUX=Inaktiverad
enligt nedanstående:
# Den här filen styr tillståndet för SELinux på systemet. # SELINUX= kan ta ett av dessa tre värden: # enforcing - SELinux säkerhetspolicy tillämpas. # tillåtande - SELinux skriver ut varningar istället för att upprätthålla. # disabled - Ingen SELinux-policy har laddats. SELINUX=inaktiverad # SELINUXTYPE= kan ta ett av dessa tre värden: # targeted - Riktade processer är skyddade, # minimum - Ändring av riktad policy. Endast utvalda processer är skyddade. # mls - Säkerhetsskydd på flera nivåer. SELINUXTYPE=riktad
Eftersom SELinux är en kärnmodul, kräver det en omstart av datorn för att kärnan ska kunna läsa den uppdaterade konfigurationsfilen och ladda systemet med SELinux inaktiverat.
sudo avstängning -r
När datorn har startats upp igen, kör sestatus
för att verifiera om SELinux är inaktiverat:
$: sestatus SELinux status: inaktiverad
? Skål!