Modos SELinux
SELinux se ejecuta en uno de tres modos (o estados).
Cumplimiento
Este es el estado predeterminado que aplica la política de seguridad de SELinux. Se deniega el acceso a usuarios y programas a menos que lo permitan las reglas de la política de seguridad de SELinux. Todos los mensajes de denegación se registran como denegaciones AVC (caché de vectores de acceso).
Permisivo
Este es un estado de diagnóstico. Las reglas de la política de seguridad no se aplican, pero SELinux envía mensajes de denegación a un archivo de registro. Esto le permite ver lo que se habría denegado si SELinux se estuviera ejecutando en modo de cumplimiento.
Deshabilitado
SELinux no aplica una política de seguridad porque no se carga ninguna política en el kernel. Solo las reglas DAC se utilizan para el control de acceso.
Configuración de los modos SELinux
Hay varias formas de configurar el modo SELinux. Una forma es seleccionar el modo desde la vista de Estado en la GUI de SELinux. También puede editar el archivo de configuración principal para SELinux, /etc/selinux/config. Configure el modo cambiando la directiva SELINUX en este archivo. Por ejemplo, para establecer el modo en cumplimiento:
# vim /etc/selinux/config SELINUX=enforcing
El comando setenforce se utiliza para cambiar entre los modos de cumplimiento y permisivo. Los cambios realizados con este comando no persisten entre reinicios. Para cambiar al modo de ejecución:
# setenforce 1
Para cambiar al modo permisivo:
# setenforce 0
Mostrar modo SELinux
Use el comando getenforce para ver el modo SELinux actual:
# getenforce EnforcingGuía para principiantes de SELinux
Cómo deshabilitar o configurar SELinux en modo permisivo
Cómo verificar si SELinux está habilitado o deshabilitado
Cómo habilitar/deshabilitar los modos de SELinux en RHEL/CentOS
Comprensión Políticas de SELinux en Linux