Как отключить SELinux на CentOS 8

Security Enhanced Linux или SELinux — это механизм безопасности, встроенный в ядро Linux, используемое дистрибутивами на основе RHEL.

SELinux добавляет к системе дополнительный уровень безопасности, позволяя администраторам и пользователям контролировать доступ к объектам на основе правил политики.

Правила политики SELinux определяют, как процессы и пользователи взаимодействуют друг с другом, а также как процессы и пользователи взаимодействуют с файлами. Если нет правила, явно разрешающего доступ к объекту, например, для процесса, открывающего файл, доступ запрещается.

SELinux имеет три режима работы:

  • Применение: SELinux разрешает доступ на основе правил политики SELinux.
  • Разрешающий: SELinux регистрирует только те действия, которые были бы запрещены при работе в принудительном режиме. Этот режим полезен для отладки и создания новых правил политики.
  • Отключено: политика SELinux не загружается, и сообщения не регистрируются.

По умолчанию в CentOS 8 SELinux включен и находится в принудительном режиме. Настоятельно рекомендуется держать SELinux в принудительном режиме. Однако иногда это может мешать работе какого-либо приложения, и вам необходимо установить его в разрешающий режим или полностью отключить.

В этом руководстве мы объясним, как отключить SELinux в CentOS 8.

Подготовка

Только пользователь root или пользователь с привилегиями sudo может изменить режим SELinux.

Проверка режима SELinux

Используйте команду sestatus чтобы проверить статус и режим, в котором работает SELinux:

sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      31

Приведенные выше выходные данные показывают, что SELinux включен и установлен в принудительный режим.

Изменение режима SELinux на разрешающий

Когда он включен, SELinux может находиться в принудительном или разрешающем режиме. Вы можете временно изменить режим с целевого на разрешающий с помощью следующей команды:

sudo setenforce 0

Однако это изменение действительно только для текущего сеанса выполнения и не сохраняется между перезагрузками.

Чтобы навсегда установить разрешающий режим SELinux, выполните следующие действия:

  1. Откройте файл /etc/selinux/config и установите для мода SELINUX значение permissive :

    / и т.д. / selinux / config
     # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX = permissive # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE = targeted
  2. Сохраните файл и запустите команду setenforce 0 чтобы изменить режим SELinux для текущего сеанса:

     sudo shutdown -r now

Отключение SELinux

Вместо отключения SELinux настоятельно рекомендуется изменить режим на разрешающий. Отключите SELinux только тогда, когда это необходимо для правильной работы вашего приложения.

Выполните следующие шаги, чтобы навсегда отключить SELinux в вашей системе CentOS 8:

  1. Откройте файл /etc/selinux/config и измените значение SELINUX на disabled :

    / и т.д. / selinux / config
     # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX = disabled # SELINUXTYPE= can take one of these three values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE = targeted
  2. Сохраните файл и перезагрузите систему:

     sudo shutdown -r now
  3. Когда система загружается, используйте команду sestatus чтобы убедиться, что SELinux отключен:

     sestatus

    Результат должен выглядеть так:

     SELinux status: disabled

Выводы

SELinux — это механизм защиты системы путем реализации обязательного контроля доступа (MAC). SELinux включен по умолчанию в системах CentOS 8, но его можно отключить, отредактировав файл конфигурации и перезагрузив систему.

Чтобы узнать больше о мощных функциях SELinux, посетите руководство по CentOS SELinux .

Если у вас есть вопросы или отзывы, оставьте комментарий ниже.

Оставьте комментарий