Selinux отключает Centos 7

Обновлено: 03.07.2024

Как отключить SELinux в Red Hat Enterprise Linux?

Разрешение

Осторожно

Глобальная служба поддержки Red Hat рекомендует навсегда отключить SELinux только в том случае, если вы уверены, что никогда не захотите запускать SELinux в будущем. Файлы, созданные с отключенным SELinux, не будут содержать информацию, необходимую для работы, когда SELinux включен; изменение этого требует «переименования» файловых систем, что может занять очень много времени.

Вместо того, чтобы отключать SELinux, вы можете вместо этого перевести SELinux в «Разрешающий» режим. В этом режиме

  • Политики SELinux останутся загруженными,
  • Попытки доступа, нарушающие настроенную политику SELinux, все равно будут регистрироваться, но
  • Попытки доступа, нарушающие настроенную политику SELinux, не будут отклонены, что отключит защиту, предлагаемую SELinux.
РЭЛ 7
  • Selinux необходимо отключить, отредактировав /etc/selinux/config
  • Задайте для строки SELINUX=enforcing значение SELINUX=disabled
  • Перезагрузите систему
RHEL 6 и RHEL5

Наиболее удобным инструментом для управления состоянием SELinux является system-config-selinux ; это часть пакета policycoreutils-gui:

system-config-selinux-rhel6.jpg

«Режим принудительного применения системы по умолчанию» управляет состоянием SELinux при загрузке системы; его можно установить на «Принудительное», «Разрешающее» или «Отключенное».

"Текущий режим принудительного применения" можно переключать между "Принудительным" и "Разрешающим". Этот параметр вступает в силу немедленно, но не является постоянным — при перезапуске система вернется к параметру «Системный режим принудительного применения по умолчанию».

RHEL4

Инструмент system-config-securitylevel (в одноименном пакете) можно использовать для включения или выключения SELinux, установив флажок «Включено». Вам нужно будет выбрать вкладку SELinux, чтобы увидеть эту опцию. Чтобы изменения вступили в силу, необходимо перезагрузить систему.

Инструмент будет выглядеть следующим образом:

system-config-securitylevel-rhel4.jpg

SELinux также можно отключить, отредактировав файл /etc/selinux/config, установив для параметра SELINUX значение SELINUX=Disabled и перезагрузив компьютер.

SELinux также можно отключить, добавив строку "selinux=0" к параметрам загрузки ядра. Пример GRUB может быть следующим:

Это решение является частью программы ускоренной публикации Red Hat, предоставляющей огромную библиотеку решений, созданных инженерами Red Hat для поддержки наших клиентов. Чтобы дать вам необходимые знания, как только они станут доступны, эти статьи могут быть представлены в необработанном и неотредактированном виде.

SELinux — это средство принудительного контроля доступа (MAC), встроенное в ядро ​​Linux. Он ограничивает привилегии отдельных служб, уязвимости которых могут представлять угрозу для системы.

Системы CentOS без SELinux полагаются на конфигурацию всех своих привилегированных программных приложений. Одна неправильная конфигурация может поставить под угрозу всю систему. Следуя этому руководству, вы узнаете, как отключить SELinux в CentOS 7.

Зачем отключать SELinux?

Не все приложения поддерживают SELinux. Таким образом, SELinux может завершать необходимые процессы при обычном использовании и установке программных пакетов. В таких случаях мы советуем вам отключить эту службу.

как отключить selinux на centos7

  • Доступ к учетной записи пользователя с правами sudo
  • Доступ к терминалу/командной строке
  • Система на основе RHEL, например CentOS 7.
  • Текстовый редактор, например nano или vim

Шаги по отключению SELinux в CentOS

Шаг 1. Проверьте статус SELinux

Служба SELinux включена по умолчанию в CentOS и большинстве других систем на базе RHEL. Однако это может быть не так для вашей системы.

Начните с проверки состояния SELinux в вашей системе с помощью команды:

Приведенный ниже пример вывода показывает, что SELinux включен. Статус показывает, что служба находится в принудительном режиме.

пример вывода статуса SELinux

SELinux может препятствовать нормальному функционированию приложений. Служба отказывает в доступе, если:

  • Файл неправильно помечен.
  • Несовместимое приложение пытается получить доступ к запрещенному файлу.
  • Служба работает с неверной политикой безопасности.
  • Обнаружено вторжение.

Если вы заметили, что службы работают неправильно, проверьте файлы журналов SELinux. Журналы находятся в /var/log/audit/audit.log. Наиболее распространенные сообщения журнала помечены «AVC». Если вы не можете найти журналы, попробуйте поискать в /var/log/messages. Система записывает журналы в этот файл, если демон auditd не запущен.

Шаг 2. Отключите SELinux

Вариант 1: временно отключить SELinux

Чтобы временно отключить SELinux, введите в терминале следующую команду:

В sudo setenforce 0 вместо 0 можно использовать permissive.

Эта команда изменяет режим SELinux с целевого на разрешающий.

переключение с целевого на разрешающий режим

В разрешающем режиме служба активна и проверяет все действия. Однако он не применяет никаких политик безопасности. Система регистрирует сообщения AVC.

Изменение действует только до следующей перезагрузки. Чтобы навсегда отключить SELinux, обратитесь к следующему разделу статьи.

Вариант 2: навсегда отключить SELinux

Чтобы навсегда отключить службу, используйте текстовый редактор (например, vim или nano) и отредактируйте файл /etc/sysconfig/selinux, как указано ниже.

<р>1. Откройте файл /etc/sysconfig/selinux. Мы будем использовать вим. Если вы не знакомы с текстовыми редакторами, обратитесь к нашему руководству по сохранению и закрытию файла vim.

Введите следующую команду, чтобы открыть файл:

<р>2. Измените директиву SELINUX=enforcing на SELINUX=disabled.

Редактирование директивы SELINUX отключить

<р>3. Сохраните отредактированный файл.

Перезагрузите CentOS, чтобы сохранить изменения

Чтобы изменения вступили в силу, необходимо перезагрузить систему командой:

После перезагрузки проверьте статус службы, чтобы убедиться, что SELinux отключен. Используйте команду:

Редактирование директивы SELINUX отключить

Статус должен быть отключен, как показано на изображении выше. Система не будет загружать какие-либо политики SELinux или вести какие-либо журналы AVC.

Следуя этой статье, вы сможете проверить состояние SELinux и отключить службу в CentOS 7. Будьте осторожны при постоянном отключении SELinux. Как правило, рекомендуется переключиться в разрешающий режим.

Безопасность – важный элемент управления сервером. Однако личные или небольшие проекты могут пожертвовать некоторыми аспектами безопасности. Что касается дистрибутивов Linux, многие из них уже имеют строгие политики безопасности. В частности, CentOS 7 и RHEL считаются самыми надежными вариантами безопасности в Linux благодаря многоуровневой защите SELinux.

Однако иногда слишком большое количество политик безопасности может мешать выполнению некоторых повседневных задач и задач сообщества. Вот почему иногда необходимо отключить определенные меры. В этом посте мы научим вас, как отключить SELinux в CentOS 7.

Что такое SELinux?

SELinux в установленной системе — это функция управления безопасностью, которая ограничивает доступ к определенным модулям ядра. CentOS 7 и RHEL реализуют его по умолчанию, чтобы обеспечить дополнительный уровень безопасности для системы. Однако его можно реализовать и в других дистрибутивах Linux, таких как Debian.

SELinux управляется с помощью определенных правил, называемых «политиками», которые ограничивают или разрешают использование определенных приложений для основных частей системы. Проблема в том, что создавать эти правила очень сложно.

В настоящее время SELinux имеет три состояния:

  • Состояние Enforcing запрещает любой несанкционированный доступ. В этом состоянии мы говорим, что SELinux включен
  • В Permissive SELinux печатает предупреждения. В отличие от первого состояния, это состояние разрешает несанкционированный доступ, но показывает предупреждение
  • Состояние Disable SELinux означает, что функция отключена и разрешает любой доступ без предупреждений.

Теперь, когда мы знаем, как работает SELinux, мы знаем, стоит ли его отключать.

Отключение SELinux

Возможно временно или навсегда отключить SELinux. У каждого есть свои преимущества. Это временно позволит нам протестировать систему, не жертвуя безопасностью. После перезапуска системы SELinux снова активируется.

С другой стороны, если мы деактивируем SELinux навсегда, мы сможем работать быстрее, особенно если это личный проект или проект среднего размера. Мы должны помнить, что на данный момент большинство дистрибутивов Linux имеют очень хорошие политики безопасности, поэтому мы можем себе это позволить.

В этом посте мы научим вас делать это в обоих направлениях в CentOS 7.

31 декабря 2021 г. истек срок службы CentOS Linux 8. Хотя CentOS Linux 7 по-прежнему поддерживается, срок его действия прекратится 30 июня 2024 г. Мы рекомендуем помнить об этом при выборе этой ОС. Подробнее об этом можно прочитать на их официальном сайте.

Временно отключите SELinux в CentOS 7

Во-первых, нам нужно получить доступ к серверу с помощью SSH. Если у вас есть какие-либо вопросы о том, как это сделать, ознакомьтесь с нашим руководством по SSH! Выполните следующую команду:

С другой стороны, если мы используем CentOS на нашем персональном компьютере, нам просто нужно открыть терминал.

После этого нам нужно проверить статус SELinux. Это довольно просто, и мы можем сделать это с помощью следующей команды:

В выходных данных мы будем уведомлены о том, что SELinux включен с принудительным состоянием.

Чтобы временно отключить его, просто запустите следующую команду:

Теперь нам нужно снова проверить статус SELinux.

Вывод покажет, что SELinux теперь находится в разрешительном режиме, что означает, что мы можем легко использовать систему.

Поскольку он временно отключен, изменения будут внесены автоматически во время перезапуска при перезапуске SELinux. Главное преимущество этого метода в том, что нет необходимости перезагружать систему.

Навсегда отключить SELinux в CentOS 7

Чтобы навсегда отключить SELinux, нам потребуется отредактировать файл конфигурации.

Для начала установим текстовый редактор nano:

После этого нам нужно отредактировать файл конфигурации selinux.

Мы отредактируем значение SELINUX. Файл очень описательный и показывает различные значения, которые мы можем назначить. Другими словами, различные состояния, которые может принимать SELinux.
В этом случае, чтобы полностью отключить его, мы должны установить значение Disabled.

Затем мы должны сохранить файл, нажав CTRL+O, и закрыть его, нажав CTRL+X. Чтобы все это заработало, нам нужно перезагрузить систему, а затем мы можем проверить, сработало ли обновление, выполнив эту команду в командной строке:

Это мы отключим SELinux в CentOS 7.

Заключение

SELinux — отличный инструмент безопасности для CentOS 7. Однако некоторых он может немного раздражать и вызывать неудобства. При рассмотрении вопроса об отключении уровня безопасности всегда думайте, готовы ли вы на такой риск.

В этом посте мы рассмотрим, как временно и навсегда отключить SELinux в зависимости от наших потребностей. Мы надеемся, что этот урок был вам полезен!

Эдвард – редактор контента с многолетним опытом работы в сфере ИТ в качестве писателя, маркетолога и энтузиаста Linux. Цель Эдварда — побудить читателей создать впечатляющее присутствие в Интернете. Еще он очень любит собак, гитары и все, что связано с космосом.

Полное название SELinux — Security-Enhanced Linux. Это функция безопасности Linux, встроенная в ядро ​​Linux. Он используется для управления доступом к пользователям, файлам, сетевым ресурсам и приложениям системы Linux. SELinux предоставляет расширенные разрешения файловой системы поверх традиционных разрешений файловой системы Linux, известных как Дискреционный контроль доступа (DAC).

SELinux — это хорошая функция безопасности. Но это трудно понять и поддерживать. Вот почему небольшие компании и стартапы часто не заморачиваются с SELinux. CentOS 7 и Red Hat Enterprise Linux 7 (RHEL 7) поставляются с предустановленным SELinux.

В этой статье я покажу вам, как отключить SELinux в CentOS 7. Приступим.

Режимы SELinux

SELinux имеет 3 состояния или режима. Они принудительные, разрешительные и отключенные.

принудительный режим: в принудительном режиме применяется политика безопасности SELinux. В этом режиме SELinux включен и действует его политика. Это означает, что вещи, которые SELinux не позволит, не будут разрешены.

Например, если приложение настроено для работы на определенном порту по умолчанию, скажем, на порту 80, и вы меняете порт на какой-либо другой, скажем, на порт 81, вам также придется настроить SELinux, чтобы разрешить приложению для запуска через порт 81. Если вы этого не сделаете, то в принудительном режиме SELinux вообще не позволит приложению работать.

разрешающий режим: в разрешающем режиме SELinux включен. Но политика SELinux не применяется. То есть SELinux позволит приложению делать все, что угодно. Итак, как это помогает? Что ж, когда SELinux находится в разрешающем режиме, он будет регистрировать все, что не разрешено политикой SELinux.

отключено режим: в отключенном режиме SELinux отключен. Операционная система не загружает политику SELinux.

Если ваша операционная система поставляется с предустановленным SELinux, как в случае с CentOS 7 и RHEL 7, SELinux по умолчанию установлен в принудительный режим.

Проверка текущего состояния и режима SELinux

Если у вас установлен SELinux, вы можете узнать, включен ли SELinux и в каком режиме он находится. Это довольно просто.

Выполните следующую команду, чтобы проверить текущее состояние и режим SELinux:


Как вы можете видеть на снимке экрана ниже, в разделе, отмеченном оранжевым цветом, указано, что статус SELinux включен. Раздел, отмеченный зеленым цветом, говорит о том, что Текущий режим применяется.


Временно отключить SELinux в CentOS 7

Возможно, вам потребуется включить SELinux. Но если вы попытаетесь протестировать или настроить новые приложения в операционной системе CentOS 7 при включенном SELinux, даже правильная конфигурация может не сработать.

Например, если у вас установлен веб-сервер Apache, корневой каталог по умолчанию — /var/www/html. Если у вас включен SELinux и вы пытаетесь изменить его на что-то другое, веб-сервер Apache не запустится, пока вы не перенастроите SELinux.

В подобных ситуациях вы можете временно отключить SELinux. Но SELinux нельзя отключить без перезагрузки системы. Вы можете изменить режим SELinux на разрешающий. Таким образом, политика SELinux не будет применяться, что равносильно отключению SELinux. Когда вы закончите, вы можете снова перевести SELinux в принудительный режим.

Вы можете запустить следующую команду, чтобы временно перевести SELinux в разрешающий режим:


Теперь выполните следующую команду, чтобы проверить текущий режим SELinux:

Как вы можете видеть в отмеченной части снимка экрана ниже, SELinux установлен в разрешительный режим.


Вы можете запустить следующую команду, чтобы переключить его обратно в принудительный режим:


Навсегда отключить SELinux в CentOS 7

При желании вы можете навсегда отключить SELinux в CentOS 7.

Выполните следующую команду, чтобы отредактировать /etc/selinux/config файл конфигурации SELinux:


Вы должны увидеть следующее окно. Теперь измените SELINUX=enforcing, как показано на снимке экрана ниже, на SELINUX=disabled


Окончательная конфигурация должна выглядеть следующим образом:


Теперь нажмите + x, затем нажмите y, а затем нажмите, чтобы сохранить файл.

Теперь перезагрузите компьютер с помощью следующей команды:

После запуска компьютера снова проверьте состояние SELinux с помощью следующей команды:

Как вы можете видеть в отмеченной части снимка экрана ниже, статус SELinux отключен.


Вот как можно отключить SELinux в CentOS 7. Спасибо, что прочитали эту статью.

Читайте также: