Pojďme spustit několik příkazů pro deaktivaci nebo vypnutí SELinux na Rocky Linux 8 pomocí příkazového terminálu.
SELinux je nyní standardem v prostředí Linuxu, pokud jde o používání povinného řízení přístupu. Zpočátku měl systém pověst obtížnosti konfigurovatelnosti a použitelnosti pouze pro odborníky. Ty dny jsou pryč. SELinux nyní mohou používat a konfigurovat i „obyčejní“ administrátoři.
No, v konvenčním systému existuje mnoho různých programů, které musí všechny běžet s právy root, aby mohly dělat svou práci, ale neměly by mít úplná oprávnění root (proč by měl mít Apache přístup k souborům fondu pošty, např. příklad?). SELinux je založen na principu TE (Type Enforcement):všechny zdroje jsou přiřazeny konkrétním doménám a jsou na nich definována přístupová pravidla. Stručně řečeno - všechny soubory jsou označeny, tj. přiřazeny ke konkrétní doméně; to například znamená, že všem souborům patřícím Apache lze přiřadit typ „apache_t“. Binární soubor Apache je také zapojen do této domény. Pokud je zbytek systému správně nastaven, může Apache přistupovat pouze k datům, která jsou v jeho doméně; jakýkoli přístup k souborům umístěným v jiných doménách (např. „postfix_t“) je blokován jádrem.
Pokud tedy nějaká služba běží s nesprávnou bezpečnostní politikou, soubory v nesprávné doméně, jakákoli detekce narušení bezpečnosti – SELinux omezuje přístup/funkci daného souboru nebo služeb.
Tato vrstva zabezpečení systému Linux ukládá protokoly všech souvisejících činností na adrese /var/log/audit/audit.log
Co je nyní potřeba pro deaktivaci SELinuxu?
Mnohokrát potřebujeme spouštět aplikace, které SELinux nepodporují, a proto jej musíme buď trvale zakázat, nebo jej přepnout do tolerantního režimu, abychom zabránili ukončení jakéhokoli klíčového procesu, který potřebujeme k instalaci konkrétní aplikace.
Kroky k deaktivaci SELinuxu na Rocky Linux
1. Požadavky
• Linuxové distribuce založené na RedHat, jako je Rocky Linux 8
• Uživatel bez oprávnění root s přístupem sudo
• Příkazový terminál
2. Režimy SELinux
Existují tři režimy, ve kterých to funguje, zde jsou tyto:
vynucování – Znamená to, že je vynucována bezpečnostní politika SELinux.
povolující – Tím se pozastaví služby SELinux a vytisknou se varování namísto vynucení zastavení jakéhokoli nežádoucího procesu.
deaktivováno – Nejsou načteny žádné zásady SELinux.
3. Zkontrolujte stav SELinux na Rocky Linux
Než půjdeme dále a vypneme SELinux, nejprve se podívejme, jaká je aktuální situace nebo stav. Přejděte do příkazového terminálu a spusťte:
sestatus
Pokud je Aktuální a Režim konfiguračních souborů formuláře jsou nastaveny na „Vynucování ” to znamená, že SELinux je povolen a aktivně omezuje nežádoucí proces.
4. Dočasně zakázat SELinux nebo povolit režim Premmisve
Pokud dojde k nějaké chybě při instalaci programu kvůli SELinuxu, pak musíme buď nastavit jeho politiku tak, aby proces povolila, nebo jej vložit do „Premmisve “ pro vaši aktuální relaci. Tím se zastaví bezpečnostní zásady SELinux vašeho systému až do příštího restartu systému. Stručně řečeno, dočasně jej deaktivuje a vrátí se zpět do režimu vynucení, jakmile restartujete systém.
sudo setenforce 0
Pro kontrolu můžete znovu spustit příkaz- sestatus
a na snímku obrazovky můžete vidět „aktuální režim“ systému nastavena na „Povolená “.
5. Povolit režim trvalého zakázání nebo povolení
Spuštěním výše uvedeného příkazu se věci nastaví na dočasné. Pokud tedy chcete SELinux trvale zakázat nebo jej přepnout do Permisivního režimu, zůstane to nezměněno i po restartu systému. Poté musíme upravit soubor „/etc/sysconfig/selinux
“.
sudo dnf -y install nano sudo nano /etc/sysconfig/selinux
Ve výchozím nastavení je režim nastaven na „vynucování“.
Pro trvalé zakázání a povolený režim jednoduše nastavte SELINUX=disbaled
nebo SELINUX=permissive
podle vašeho výběru.
Uložit soubor Ctrl+O , stiskněte Enter a poté Ctrl+X pro ukončení souboru.
6. Restartujte systém
Chcete-li použít změny, které jsme provedli úpravou souboru SELinux, jednoduše restartujte systém Rocky Linux.
sudo reboot
7. Zkontrolujte aktuální režim
Jakmile jste znovu na terminálu vašeho systému, spusťte příkaz ke kontrole aktuálního stavu a potvrďte, že SELinux je nastaven na trvalý nebo deaktivovaný režim.
sestatus
Poznámka na konec:
Podle tohoto tutoriálu budete moci deaktivovat SELinux na vašem Rocky Linuxu, nicméně se doporučuje použít permisivní messive režim místo deaktivace.