SELinux znamená Security-Enhanced integrované do RHEL a jeho založený operační systém, jako je CentOS, AlmaLinux a Rocky Linux 8 Linux ihned po vybalení. Jedná se o další vrstvu zabezpečení nebo rozšíření linuxového jádra, které je k dispozici ve formě samostatného bezpečnostního modulu. SELinux je oficiální součástí linuxového jádra od roku 2003.
Některé linuxové distribuce nabízejí SELinux jako standard a mají jej standardně povolený, nicméně uživatel jej může vypnout, pokud si to přeje. SELinux omezuje přístupová práva programů nebo procesů, které nejsou považovány za nezbytné. Všechny procesy tak svévolně nebudou moci získat přístup do systému a má smysl omezit přístupová práva, i když programům skutečně důvěřujete. Výrazně snižuje riziko, které představují bezpečnostní mezery v uživatelských programech, pokud je aplikace hacknuta třetí stranou nebo infikována malwarem SELinux omezuje přístup a tím i rádius poškození. Nepotřebujeme to však pokaždé, SELinux mnohokrát odkládá uživatelům instalaci některých aplikací, v takových scénářích může uživatel zakázat SELinux buď dočasně nebo trvale .
Co se zde naučíme?
- Deaktivujte trvale nebo dočasně SElinux v AlmaLinux a Rocky
- Příkaz ke kontrole stavu SELinux
- Co je to povolený režim SELinux
Příkaz ke kontrole stavu SELinux
Než přejdeme k deaktivaci SELinuxu dále, podívejme se nejprve, jaký je aktuální stav SELinuxu na našem AlmaLinuc 8 nebo Rocky. Abychom věděli, co musíme udělat.
sestatus
Výstup bude: Pokud se zobrazuje Povoleno a Aktuální režim – vynucování znamená, že SELinux je aktivní a použitelný pro omezení procesu systémových programů.
Ve skutečnosti jsou pro SELinux k dispozici tři režimy, jeden je „Vynucování “, který můžete vidět na výše uvedeném snímku obrazovky zobrazující všechna pravidla zásad aktivně vynucovaná pro nainstalované programy. Druhý je „Permisivní“ , tento režim SELinuxu umožňuje spouštět a zpracovávat vše bez omezení, nicméně bude logovat systémové události; kde třetí režim je „Zakázáno ” ve kterém SElinux nic nezaznamenává ani neomezuje žádný proces aplikací pravidel zásad.
Dočasně zakázat SELinux nebo povolit Permisivní režim
Pokud plánujete nainstalovat nějakou aplikaci, která potřebuje dočasně deaktivovat SELinux tím, že ji přepnete do Permisivního režimu; pak zde je příkaz, který můžete použít k dosažení stejného:
sudo setenforce 0 or sudo setenforce Permissive
Abyste se ujistili, že SELinux byl úspěšně přepnut do Permisivního režimu, můžete znovu spustit příkaz status a zkontrolovat to:
sestatus
Výstup :
No, jak jsem řekl Permisivní režim je dočasný, takže po restartování váš systém AlmaLinux, SELinux se vrátí zpět k vynucení režimu. Pokud jej chcete úplně deaktivovat, podívejte se na následující příkazy…
Trvale zakázat SELinux na AlmaLinux nebo Rocky 8
Doposud jsme se naučili, jak zkontrolovat stav a povolit permisivní režim SELinuxu, nyní se podívejme na proces, jak jej vložit a povolit jeho třetí režim, který je „Zakázáno“. K tomu musíme upravit config soubor SELinux.
Na příkazovém terminálu použijte níže uvedené dva příkazy:
sudo dnf install nano sudo nano /etc/sysconfig/selinux
Na následujícím snímku obrazovky uvidíte text.
Zde přesuňte kurzor na SELINUX=enforcing a změňte jej na:
SELINUX=disbaled
Uložit soubor stisknutím Ctrl+X , zadejte Y a poté stiskněte Enter klíč.
Restartovat
Chcete-li použít změny a trvale uvést náš SELinux do vypnutého režimu, restartujte svůj linuxový server nebo plochu.
sudo reboot
Konec myšlenek:
Takže toto byl rychlý způsob, jak se vypořádat se SELinuxem a uvést jej buď do permisivního, nebo trvale zakázaného režimu na AlmaLinuxu nebo Rocky Linuxu, ať už používáte cokoliv.