SELinux (security Enhanced Linux) ir Linux kodola modulis, kas nodrošina obligātās piekļuves kontroles (MAC) politikas opcijas. Tam ir dažādas komandrindas utilītas, lai precīzi kontrolētu programmai vai lietotājam atļautās darbības.
Tas ir iepriekš instalēts un pēc noklusējuma iespējots daudzos Linux izplatījumos, galvenokārt uz Red Hat balstītajiem izplatījumiem, piemēram, Fedora un CentOS.
Lai gan SELinux noteikti piedāvā papildu drošības līmeni, lietotāju kopienā notiek diskusijas par to, vai šāds papildu slānis vispār ir vajadzīgs kopā ar jau esošajiem drošības procesiem, paroles aizsardzību utt.
Ja vēlaties atspējot SELinux savā datorā, kurā darbojas CentOS 8, šeit ir īss ceļvedis, kā to izdarīt.
SELinux atspējošana operētājsistēmā CentOS 8
Vispirms izpildīsim komandu sestatus
lai redzētu SELinux statusu:
$: sestatus SELinux statuss: iespējots SELinuxfs mount: /sys/fs/selinux SELinux saknes direktorijs: /etc/selinux Ielādēts politikas nosaukums: mērķēts Pašreizējais režīms: izpildes režīms no konfigurācijas faila: izpildes režīms MLS statuss: iespējota politika deny_unknown statuss: atļauts aizsardzības pārbaude: faktiskā (drošā) maksimālā kodola politikas versija: 31
Kā parādīts statusā, SELinux pašlaik ir iespējots sistēmā un ir iestatīts uz “piespiedu” režīmu. Varat to iestatīt “atļaujošā” režīmā vai pilnībā atspējot. Šajā ziņā mēs koncentrēsimies uz SELinux atspējošanu.
Lai atspējotu SELinux sistēmā CentOS, atver failu /etc/selinux/config
un mainīt SELINUX = izpilde
vai SELINUX = pieļaujams
vērtību līdz SELINUX =invalīds
kā parādīts zemāk:
# Šis fails kontrolē SELinux stāvokli sistēmā. # SELINUX= var izmantot vienu no šīm trim vērtībām: # enforcing — tiek īstenota SELinux drošības politika. # permissive — SELinux drukā brīdinājumus, nevis piespiež. # atspējots — SELinux politika nav ielādēta. SELINUX=atspējots # SELINUXTYPE= var iegūt vienu no šīm trim vērtībām: # targeted - Mērķtiecīgie procesi ir aizsargāti, # minimums - Mērķtiecīgas politikas modifikācija. Ir aizsargāti tikai atlasītie procesi. # mls — vairāku līmeņu drošības aizsardzība. SELINUXTYPE=mērķēts
Tā kā SELinux ir kodola modulis, tam ir jārestartē dators, lai kodols nolasītu atjaunināto konfigurācijas failu un ielādētu sistēmu ar atspējotu SELinux.
sudo izslēgšana -r
Kad dators ir atkal sāknēts, palaidiet sestatus
lai pārbaudītu, vai SELinux ir atspējots:
$: sestatus SELinux statuss: atspējots
? Priekā!