SELinux (Security Enhanced Linux) is een Linux-kernelmodule die opties biedt voor Mandatory Access Control (MAC) -beleid. Het wordt geleverd met verschillende hulpprogramma's voor de opdrachtregel om de activiteiten die zijn toegestaan voor een programma of een gebruiker nauwkeurig te regelen.
Het is voorgeïnstalleerd en standaard ingeschakeld op veel Linux-distributies, meestal op Red Hat gebaseerde distributies zoals Fedora en CentOS.
Hoewel SELinux zeker een extra beveiligingslaag biedt, is er een voortdurende discussie in de gemeenschap van gebruikers of een dergelijke extra laag zelfs vereist is, samen met reeds aanwezige beveiligingsprocessen, wachtwoordbeveiligingen, enz.
Als u SELinux op uw computer met CentOS 8 wilt uitschakelen, volgt hier een korte handleiding om dit te doen.
SELinux uitschakelen in CentOS 8
Laten we eerst de opdracht uitvoeren sestatus
om de status van SELinux te zien:
$: sestatus SELinux status: ingeschakeld SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Beleidsnaam geladen: gericht Huidige modus: afdwingen Modus van configuratiebestand: afdwingen Beleid MLS-status: ingeschakeld Beleid deny_unknown status: toegestaan Geheugen beschermingscontrole: actueel (beveiligd) Max. kernelbeleidsversie: 31
Zoals getoond in de status, is SELinux momenteel ingeschakeld op het systeem en ingesteld op de 'afdwingende' modus. Je kunt het ofwel in de 'permissieve' modus zetten of het volledig uitschakelen. In dit bericht gaan we ons concentreren op het uitschakelen van SELinux.
Om SELinux in CentOS uit te schakelen, open bestand /etc/selinux/config
en veranderen SELINUX=afdwingen
of SELINUX=toelatend
waarde aan SELINUX=gehandicapt
zoals hieronder weergegeven:
# Dit bestand regelt de status van SELinux op het systeem. # SELINUX= kan één van deze drie waarden aannemen: # enforcing - SELinux beveiligingsbeleid wordt afgedwongen. # permissive - SELinux drukt waarschuwingen af in plaats van af te dwingen. # uitgeschakeld - Er is geen SELinux-beleid geladen. SELINUX=uitgeschakeld # SELINUXTYPE= kan een van deze drie waarden aannemen: # gericht - Gerichte processen zijn beschermd, # minimaal - Wijziging van gericht beleid. Alleen geselecteerde processen zijn beveiligd. # mls - Beveiliging op meerdere niveaus. SELINUXTYPE=gericht
Aangezien SELinux een kernelmodule is, vereist het een herstart van de computer voordat de kernel het bijgewerkte configuratiebestand kan lezen en het systeem kan laden met SELinux uitgeschakeld.
sudo afsluiten -r
Nadat de computer opnieuw is opgestart, voert u sestatus
om te controleren of SELinux is uitgeschakeld:
$: sestatus SELinux-status: uitgeschakeld
? Proost!