Pregunta:cómo deshabilitar completamente SELinux (Security Enhanced Linux) o configurarlo en modo "permisivo"
Respuesta :
SELinux brinda esa capa adicional de seguridad a los recursos del sistema. Proporciona el MAC (control de acceso obligatorio) a diferencia del DAC (control de acceso discrecional). Antes de sumergirnos en la configuración de los modos de SELinux, veamos cuáles son los diferentes modos de operación de SELinux y cómo funcionan. SELinux puede operar en cualquiera de los 3 modos:
2. Permisivo :Las acciones contrarias a la política solo se registran en el registro de auditoría.
3. Deshabilitado :SELinux está completamente deshabilitado.
Para deshabilitar completamente SELinux , utilice cualquiera de estos métodos:
Cambie el valor de SELINUX a SELINUX=deshabilitado en el archivo /etc/selinux/config.
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
Reinicie el servidor.
# shutdown -r now
Edite la línea de arranque del kernel en /boot/grub/grub.conf y agregue selinux=0 a las opciones de arranque del núcleo. Por ejemplo:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet selinux=0 initrd /initrd-2.6.9-42.ELsmp.img
Reinicie el servidor.
# shutdown -r now
Para establecer SELinux en modo permisivo , use cualquiera de estos métodos:
1. Establezca el modo SELinux en Permisivo temporal (sin reiniciar)
El comando setenforce se usa para cambiar entre el modo de aplicación y el modo permisivo. Para cambiar al modo permisivo:
# setenforce 0
Use el comando getenforce para ver el modo SELinux actual:
# getenforce Permissive
un. Editar /etc/selinux/config
Cambiar el valor de SELINUX a “SELINUX=permisivo”
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
Edite la línea de arranque del núcleo y agregue “enforcing=0” a las opciones de arranque del núcleo (suponiendo que SELinux no esté desactivado como en la sección anterior). Por ejemplo:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0 initrd /initrd-2.6.9-42.ELsmp.img
Reinicie el servidor.
# shutdown -r now
Para comprobar el estado de SELinux, emita:
# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28Cómo verificar si SELinux está habilitado o deshabilitado