Introduzione
SELinux è un dispositivo di controllo dell'accesso obbligatorio (MAC) integrato nel kernel Linux. Limita i privilegi dei singoli servizi le cui vulnerabilità potrebbero rappresentare una minaccia per il sistema.
I sistemi CentOS senza SELinux si basano sulla configurazione di tutte le sue applicazioni software privilegiate. Una singola configurazione errata può compromettere l'intero sistema. Seguendo questa guida imparerai come disabilitare SELinux su CentOS 7 .
Perché disabilitare SELinux?
Non tutte le applicazioni supportano SELinux. Pertanto, SELinux può terminare i processi necessari durante l'uso regolare e l'installazione dei pacchetti software. In questi casi, ti consigliamo di disattivare questo servizio.
Prerequisiti
- Accesso a un account utente con sudo privilegi
- Accesso a un terminale/riga di comando
- Un sistema basato su RHEL, come CentOS 7
- Un editor di testo, come nano o vim
Passaggi per la disabilitazione di SELinux su CentOS
Fase 1:verifica lo stato di SELinux
Il servizio SELinux è abilitato per impostazione predefinita su CentOS e sulla maggior parte degli altri sistemi basati su RHEL. Tuttavia, questo potrebbe non essere il caso del tuo sistema.
Inizia controllando lo stato di SELinux sul tuo sistema con il comando:
sestatus L'output di esempio seguente indica che SELinux è abilitato. Lo stato mostra che il servizio è in applicazione modalità .
SELinux può impedire il normale funzionamento delle applicazioni. Il servizio nega l'accesso se:
- Un file è etichettato erroneamente.
- Un'applicazione incompatibile tenta di accedere a un file proibito.
- Un servizio è in esecuzione con criteri di sicurezza errati.
- È stata rilevata un'intrusione.
Se noti che i servizi non funzionano correttamente, controlla i file di registro di SELinux. I log si trovano in /var/log/audit/audit.log . I messaggi di registro più comuni sono etichettati con "AVC". Se non riesci a trovare alcun log, prova a cercare in /var/log/messages . Il sistema scrive i log in quel file se auditd il demone non è in esecuzione.
Fase 2:Disattiva SELinux
Opzione 1:Disattiva SELinux temporaneamente
Per disabilitare temporaneamente SELinux, digita il seguente comando nel terminale:
sudo setenforce 0In sudo setenforce 0 , puoi usare permissivo invece di 0.
Questo comando cambia la modalità SELinux da mirato a permissivo .
In permissivo modalità, il servizio è attivo e controlla tutte le azioni. Tuttavia, non applica alcuna politica di sicurezza. Il sistema registra AVC messaggi.
La modifica è attiva solo fino al prossimo riavvio. Per disattivare SELinux in modo permanente, fare riferimento alla sezione successiva dell'articolo.
Opzione 2:Disattiva SELinux in modo permanente
Per disabilitare il servizio in modo permanente, utilizzare un editor di testo (ad es. vim o nano) e modificare /etc/sysconfig/selinux file come indicato di seguito.
1. Apri /etc/sysconfig/selinux file. Useremo vim . Se non hai dimestichezza con gli editor di testo, consulta la nostra guida di istruzioni su come salvare e uscire da un file vim.
Immettere il seguente comando per aprire il file:
sudo vi /etc/sysconfig/selinux2. Modificare SELINUX=enforcing direttiva su SELINUX=disabled.
3. Salva il file modificato.
Riavvia CentOS per salvare le modifiche
Affinché la modifica abbia effetto, è necessario riavviare il sistema con il comando:
sudo shutdown -r nowDopo il riavvio, controllare lo stato del servizio per confermare che SELinux sia disabilitato. Usa il comando:
sestatusLo stato dovrebbe essere disabilitato , come si vede nell'immagine sopra. Il sistema non caricherà alcuna politica SELinux né scriverà alcun AVC registri.