Pojďme spustit několik příkazů pro deaktivaci nebo vypnutí SELinuxu na AlmaLinuxu 8 pomocí příkazového terminálu.
No, v konvenčním systému existuje mnoho různých programů, které musí všechny běžet s právy root, aby mohly dělat svou práci, ale neměly by mít úplná oprávnění root (proč by měl mít Apache přístup k souborům fondu pošty, např. příklad?). SELinux je založen na principu TE (Type Enforcement):všechny zdroje jsou přiřazeny konkrétním doménám a jsou na nich definována přístupová pravidla.
Pokud tedy nějaká služba běží s nesprávnou bezpečnostní politikou, soubory v nesprávné doméně, jakákoli detekce narušení bezpečnosti – SELinux omezuje přístup/funkci daného souboru nebo služeb.
Tato vrstva zabezpečení systému Linux ukládá protokoly všech souvisejících činností na adrese /var/log/audit/audit.log
Co je nyní potřeba pro deaktivaci SELinuxu?
Mnohokrát potřebujeme spouštět aplikace, které SELinux nepodporují, a proto jej musíme buď trvale zakázat, nebo jej přepnout do tolerantního režimu, abychom zabránili ukončení jakéhokoli klíčového procesu, který potřebujeme k instalaci konkrétní aplikace.
Kroky pro deaktivaci SELinuxu na AlmaLinux 8
1. Požadavky
• Linuxové distribuce založené na RedHat, jako je AlmaLinux 8
• Uživatel bez oprávnění root s přístupem sudo
• Příkazový terminál
2. Režimy SELinux
Existují tři režimy, ve kterých to funguje, zde jsou tyto:
vynucování – Znamená to, že je vynucována bezpečnostní politika SELinux.
povolující – Tím se pozastaví služby SELinux a vytisknou se varování namísto vynucení zastavení jakéhokoli nežádoucího procesu.
deaktivováno – Nejsou načteny žádné zásady SELinux.
3. Zkontrolujte stav SELinux na AlmaLinux
Než půjdeme dále a vypneme SELinux, nejprve se podívejme, jaká je aktuální situace nebo stav. Přejděte do příkazového terminálu a spusťte:
sestatus
Pokud je Aktuální a Režim konfiguračních souborů formuláře jsou nastaveny na „Vynucování ” to znamená, že SELinux je povolen a aktivně omezuje nežádoucí proces.
4. Dočasně zakázat SELinux nebo povolit režim Premmisve
Pokud dojde k nějaké chybě při instalaci programu kvůli SELinuxu, musíme buď upravit jeho zásady, aby byl proces povolen, nebo jej vložit do „Premmisve ” režim – Dočasně, pro vaši aktuální relaci. Tím se zastaví bezpečnostní zásady SELinux vašeho systému až do příštího restartu systému. Stručně řečeno, dočasně jej deaktivuje a vrátí se zpět do režimu vynucení, jakmile restartujete systém.
sudo setenforce 0
Pro kontrolu můžete znovu spustit příkaz- sestatus
a na snímku obrazovky můžete vidět „aktuální režim“ systému nastavena na „Povolená “.
5. Povolit režim trvalého zakázání nebo povolení
Spuštěním výše uvedeného příkazu se věci nastaví na dočasné . Pokud tedy chcete SELinux deaktivovat nebo jej přepnout do Permisivního režimu, ale trvale, zůstane to nezměněno i po restartu systému. Poté musíme upravit soubor „/etc/sysconfig/selinux
“.
sudo dnf -y install nano sudo nano /etc/sysconfig/selinux
Ve výchozím nastavení je režim nastaven na „vynucování ‘.
Pro trvalé zakázání a povolený režim jednoduše nastavte SELINUX=disbaled
nebo SELINUX=permissive
podle vašeho výběru.
Uložit soubor Ctrl+O , stiskněte Enter a poté Ctrl+X pro ukončení souboru.
6. Restartujte systém
Chcete-li použít změny, které jsme provedli úpravou souboru SELinux, jednoduše restartujte systém AlmaLinux.
sudo reboot
7. Zkontrolujte aktuální režim
Jakmile jste znovu na terminálu vašeho systému, spusťte příkaz ke kontrole aktuálního stavu a potvrďte, že SELinux je nastaven na trvalý nebo deaktivovaný režim.
sestatus
Poznámka na konec:
Podle tohoto návodu budete moci deaktivovat SELinux na vašem AlmaLinuxu, nicméně se doporučuje použít permisivní režim namísto přechodu do režimu deaktivace.