SELinux, což je zkratka pro Security Enhanced Linux, je další vrstva kontroly zabezpečení zabudovaná do Red Hat Enterprise Linux a jeho odvozených distribucí Linuxu, jako je CentOS. SELinux je na CentOS 8 ve výchozím nastavení povolen a pokud jej uživatel nechce používat, musel by být deaktivován ručně.
Přestože SELinux může chránit náš systém prostřednictvím řízení přístupu k programům a systémovým službám, není vždy nutné jej mít povolený. Někteří uživatelé mohou dokonce zjistit, že narušuje určité programy, které se snaží nainstalovat. V této příručce si projdeme pokyny krok za krokem, jak deaktivovat SELinux na CentOS 8, a to jak dočasně, tak trvale po restartování.
V tomto tutoriálu se naučíte:
- Jak zkontrolovat stav SELinux
- Jak uvést SELinux do permisivního režimu
- Jak deaktivovat SELinux
Zakázání SELinux na CentOS 8 | Kategorie | Požadavky, konvence nebo použitá verze softwaru |
|---|---|
| Systém | CentOS 8 |
| Software | SELinux |
| Jiné | Privilegovaný přístup k vašemu systému Linux jako root nebo prostřednictvím sudo příkaz. |
| Konvence | # – vyžaduje, aby dané linuxové příkazy byly spouštěny s právy root buď přímo jako uživatel root, nebo pomocí sudo příkaz$ – vyžaduje, aby dané linuxové příkazy byly spouštěny jako běžný neprivilegovaný uživatel |
Jak zkontrolovat stav SELinux
Aktuální stav SELinuxu můžete kdykoli zkontrolovat provedením následujícího příkazu.
$ sestatus
Kontrola aktuálního režimu SELinux V našem testovacím systému snímek obrazovky výše ukazuje, že „aktuální režim“ SELinuxu vynucuje .
Ještě jednodušší způsob, jak rychle zkontrolovat stav, je pomocí getenforce příkaz, který vypíše pouze aktuální režim SELinuxu a nic jiného.
$ getenforce Enforcing
SELinux má tři možné režimy, které můžete vidět při spuštění příkazu. Jsou to:
- Vynucování – SELinux je aktivní a prosazuje svá pravidla.
- Permisivní – SELinux povoluje vše, ale zaznamenává události, které by normálně zamítl v režimu vynucení.
- Zakázáno – SELinux nevynucuje pravidla ani nic nezaznamenává.
Ve výchozím nastavení má CentOS 8 povolený SELinux a v režimu vynucení.
Jak deaktivovat SELinux
V závislosti na vašich potřebách může deaktivace SELinuxu zahrnovat buď jeho změnu na permisivní režim, nebo jeho úplné zakázání.
Nastavení SELinuxu na permisivní režim deaktivuje všechny aspekty SELinuxu kromě protokolování zpráv. Aby se tato změna projevila, nemusíme restartovat náš systém a změnu můžeme provést provedením následujícího příkazu.
$ sudo setenforce 0
Změnu můžete ověřit opětovnou kontrolou aktuálního režimu SELinux, buď pomocí sestatus nebo getenforce příkaz.
SELinux je aktuálně v permisivním režimu Když restartujete systém, SELinux se vrátí zpět do režimu vynucení. Pokud chcete, aby změna byla trvalá, můžete pomocí následujících pokynů krok za krokem SELinux úplně deaktivovat nebo jej ponechat v permisivním režimu.
- Použijte nano nebo svůj oblíbený textový editor k otevření konfiguračního souboru SELinux umístěného v
/etc/selinux/config. Budete to muset provést pomocí účtu root nebosudopříkaz.$ sudo nano /etc/selinux/config
- Změňte
SELINUX=enforcingřádek na „povolená“ nebo „vypnuto“, v závislosti na preferovaném nastavení. Poté po uložení změn tento soubor ukončete.SELINUX=disabled
- Jakmile restartujete systém, SELinux bude zcela deaktivován. Chcete-li se vyhnout restartování nyní, spusťte
setenforce 0příkaz, jak je vysvětleno výše, abyste získali okamžité výsledky, zatímco budete čekat do dalšího restartu.$ reboot
Nastavením direktivy SELINUX na vypnuto ji trvale deaktivujete 
Po restartu byl SELinux zcela deaktivován Úvahy na závěr
V této příručce jsme viděli, jak deaktivovat SELinux na systému CentOS 8 Linux, a to jak nastavením aktuálního režimu na permisivní, tak úplným zakázáním SELinuxu. SELinux je užitečná funkce, která by měla být deaktivována pouze s předchozím zvážením nebo v testovacích prostředích. Přesto může v určitých situacích způsobovat problémy, takže nám vývojáři nabídli způsob, jak to zakázat.