SELinux (turvalisusega täiustatud Linux) on Linuxi kerneli moodul, mis pakub valikuid kohustusliku juurdepääsukontrolli (MAC) poliitikate jaoks. Sellega on kaasas erinevad käsurea utiliidid, mis võimaldavad täpselt juhtida programmile või kasutajale lubatud tegevusi.
See on eelinstallitud ja vaikimisi lubatud paljudes Linuxi distributsioonides, peamiselt Red Hatil põhinevates distributsioonides, nagu Fedora ja CentOS.
Kuigi SELinux pakub kindlasti täiendavat turvakihti, käib kasutajate kogukonnas käimas vaidlus selle üle, kas sellist lisakihti koos juba olemasolevate turbeprotsesside, paroolikaitsega jne üldse vaja on.
Kui soovite SELinuxi keelata oma arvutis, kus töötab CentOS 8, on siin lühike juhend.
SELinuxi keelamine operatsioonisüsteemis CentOS 8
Esiteks käivitame käsu sestatus
SELinuxi oleku vaatamiseks:
$: sestatus SELinuxi olek: lubatud SELinuxfs mount: /sys/fs/selinux SELinuxi juurkataloog: /etc/selinux Laaditud poliitika nimi: sihitud Praegune režiim: jõustamisrežiim konfiguratsioonifailist: jõustamisrežiim MLS-i olek: lubatud Poliitika deny_unknown olek: lubatud Mälu kaitse kontroll: tegelik (turvaline) Kerneli poliitika maksimaalne versioon: 31
Nagu olekus näidatud, on SELinux praegu süsteemis lubatud ja seatud jõustamisrežiimi. Saate selle seada "lubavale" režiimile või selle täielikult keelata. Selles postituses keskendume SELinuxi keelamisele.
SELinuxi keelamiseks CentOS-is avatud fail /etc/selinux/config
ja muuta SELINUX=jõustamine
või SELINUX=lubav
väärtust SELINUX=puudega
nagu allpool näidatud:
# See fail juhib SELinuxi olekut süsteemis. # SELINUX= võib võtta ühe kolmest väärtusest: # enforcing – SELinuxi turvapoliitika on jõustatud. # lubav – SELinux prindib jõustamise asemel hoiatused. # keelatud – SELinuxi poliitikat pole laaditud. SELINUX=keelatud # SELINUXTYPE= võib võtta ühe kolmest väärtusest: # targeted – sihitud protsessid on kaitstud, # minimaalne – sihitud poliitika muutmine. Ainult valitud protsessid on kaitstud. # mls – mitmetasandiline turvakaitse. SELINUXTYPE=sihitud
Kuna SELinux on kerneli moodul, nõuab see arvuti taaskäivitamist, et kernel saaks lugeda värskendatud konfiguratsioonifaili ja laadida süsteem, mille SELinux on keelatud.
sudo väljalülitamine -r
Pärast arvuti taaskäivitamist käivitage sestatus
kontrollimaks, kas SELinux on keelatud:
$: sestatus SELinuxi olek: keelatud
? Tervist!