Introducción
SELinux es un ejecutor de control de acceso obligatorio (MAC) integrado en el kernel de Linux. Limita los privilegios de servicios individuales cuyas vulnerabilidades pueden ser una amenaza para el sistema.
Los sistemas CentOS sin SELinux dependen de la configuración de todas sus aplicaciones de software privilegiadas. Una sola configuración incorrecta puede comprometer todo el sistema. Al seguir esta guía, aprenderá cómo deshabilitar SELinux en CentOS 7 .
¿Por qué deshabilitar SELinux?
No todas las aplicaciones admiten SELinux. Por lo tanto, SELinux puede finalizar los procesos necesarios durante el uso y la instalación habituales de los paquetes de software. En esos casos, le recomendamos que desactive este servicio.
Requisitos previos
- Acceso a una cuenta de usuario con sudo privilegios
- Acceso a una terminal/línea de comando
- Un sistema basado en RHEL, como CentOS 7
- Un editor de texto, como nano o vim
Pasos para deshabilitar SELinux en CentOS
Paso 1:Comprobar el estado de SELinux
El servicio SELinux está habilitado de forma predeterminada en CentOS y en la mayoría de los demás sistemas basados en RHEL. Sin embargo, este podría no ser el caso de su sistema.
Comience por verificar el estado de SELinux en su sistema con el comando:
sestatusEl resultado de ejemplo a continuación indica que SELinux está habilitado. El estado muestra que el servicio está en cumplimiento modo .
SELinux puede impedir el funcionamiento normal de las aplicaciones. El servicio deniega el acceso si:
- Un archivo está mal etiquetado.
- Una aplicación incompatible intenta acceder a un archivo prohibido.
- Un servicio se está ejecutando con una política de seguridad incorrecta.
- Se detectó una intrusión.
Si observa que los servicios no se ejecutan correctamente, verifique los archivos de registro de SELinux. Los registros están en /var/log/audit/audit.log . Los mensajes de registro más comunes están etiquetados con "AVC". Si no puede encontrar ningún registro, intente buscar en /var/log/messages . El sistema escribe registros en ese archivo si auditd el demonio no se está ejecutando.
Paso 2:Deshabilitar SELinux
Opción 1:deshabilitar SELinux temporalmente
Para deshabilitar SELinux temporalmente, escriba el siguiente comando en la terminal:
sudo setenforce 0En sudo setenforce 0 , puede usar permisivo en lugar de 0.
Este comando cambia el modo SELinux de destinado a permisivo .
En permisivo modo, el servicio está activo y audita todas las acciones. Sin embargo, no aplica ninguna política de seguridad. El sistema registra AVC mensajes.
El cambio solo está activo hasta el próximo reinicio. Para desactivar SELinux de forma permanente, consulte la siguiente sección del artículo.
Opción 2:deshabilitar SELinux de forma permanente
Para deshabilitar el servicio de forma permanente, use un editor de texto (por ejemplo, vim o nano) y edite el /etc/sysconfig/selinux archivo como se indica a continuación.
1. Abra el /etc/sysconfig/selinux expediente. Usaremos vim . Si no está familiarizado con los editores de texto, consulte nuestra guía de instrucciones sobre cómo guardar y salir de un archivo vim.
Introduzca el siguiente comando para abrir el archivo:
sudo vi /etc/sysconfig/selinux2. Cambie el SELINUX=enforcing directiva a SELINUX=disabled.
3. Guarde el archivo editado.
Reiniciar CentOS para guardar los cambios
Para que el cambio surta efecto, debe reiniciar el sistema con el comando:
sudo shutdown -r nowDespués de reiniciar, verifique el estado del servicio para confirmar que SELinux está deshabilitado. Usa el comando:
sestatusEl estado debe ser deshabilitado , como se ve en la imagen de arriba. El sistema no cargará ninguna política de SELinux ni escribirá ningún AVC registros.