Domanda:come disabilitare completamente SELinux (Security Enhanced Linux) o impostarlo in modalità "permissiva"
Rispondi :
SELinux offre un ulteriore livello di sicurezza alle risorse nel sistema. Fornisce il MAC (controllo di accesso obbligatorio) in quanto contrario al DAC (controllo di accesso discrezionale). Prima di addentrarci nell'impostazione delle modalità di SELinux, vediamo quali sono le diverse modalità di funzionamento di SELinux e come funzionano. SELinux può funzionare in una qualsiasi delle 3 modalità :
2. Permissivi :le azioni contrarie al criterio vengono registrate solo nel registro di controllo.
3. Disabilitato :SELinux è completamente disabilitato.
Per disabilitare completamente SELinux , usa uno di questi metodi:
Modifica il valore SELINUX in SELINUX=disabled nel file /etc/selinux/config.
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
Riavvia il server.
# shutdown -r now
Modifica la riga di avvio del kernel in /boot/grub/grub.conf e aggiungi selinux=0 alle opzioni di avvio del kernel. Ad esempio:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet selinux=0 initrd /initrd-2.6.9-42.ELsmp.img
Riavvia il server.
# shutdown -r now
Per impostare SELinux su Modalità permissiva , utilizza uno di questi metodi:
1. Imposta la modalità SELinux su Permissiva temporanea (senza riavvio)
Il comando setenforce viene utilizzato per passare dalla modalità di applicazione a quella permissiva. Per passare alla modalità permissiva:
# setenforce 0
Usa il comando getenforce per visualizzare la modalità SELinux corrente:
# getenforce Permissive
a. Modifica /etc/selinux/config
Modifica il valore SELINUX in "SELINUX=permissivo"
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
Modifica la riga di avvio del kernel e aggiungi "enforcing=0" alle opzioni di avvio del kernel (supponendo che SELinux non sia impostato su disabilitato come nella sezione precedente). Ad esempio:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0 initrd /initrd-2.6.9-42.ELsmp.img
Riavvia il server.
# shutdown -r now
Per controllare lo stato di SELinux, emettere:
# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28Come verificare se SELinux è abilitato o disabilitato