Mode SELinux
SELinux memberikan lapisan keamanan ekstra itu ke sumber daya dalam sistem. Ini memberikan MAC (kontrol akses wajib) yang bertentangan dengan DAC (Kontrol akses diskresioner). Sebelum kita masuk ke pengaturan mode SELinux, mari kita lihat apa saja mode operasi SELinux yang berbeda dan bagaimana cara kerjanya. SELinux dapat beroperasi di salah satu dari 3 mode :
1. Diberlakukan :Tindakan yang bertentangan dengan kebijakan diblokir dan peristiwa terkait dicatat dalam log audit.
2. Permisif :Tindakan yang bertentangan dengan kebijakan hanya dicatat dalam log audit.
3. Dinonaktifkan :SELinux dinonaktifkan sepenuhnya.
Mengalihkan mode SELinux sementara
Untuk beralih antar mode SELinux sementara kita dapat menggunakan perintah setenforce seperti gambar di bawah ini :
# setenforce [ Enforcing | Permissive | 1 | 0 ]
0 –> Permisif
1 –> Menegakkan
Atau Anda cukup menggemakan nilai ke dalam file pseudo – /sys/fs/selinux/enforce atau /selinux/enforce .
# echo [0|1] > /sys/fs/selinux/enforce
Untuk memeriksa mode SELinux saat ini :
# getenforce Enforcing
atau kita juga bisa menggunakan perintah sestatus untuk mendapatkan detail status :
# sestatus SELinux status: enabled SELinuxfs mount: /selinux --> virtual FS similar to /proc Current mode: enforcing --> current mode of operation Mode from config file: permissive --> mode set in the /etc/sysconfig/selinux file. Policy version: 24 Policy from config file: targeted
Mengubah mode SELinux Secara Permanen
Menggunakan file /etc/sysconfig/selinux
Salah satu cara untuk mengubah mode SELinux secara permanen menjadi Enforcing atau Permissive adalah – mengedit file /etc/sysconfig/selinux dan menyetel nilai parameter SELINUX ke enforcing atau permissive.
# ls -l /etc/sysconfig/selinux lrwxrwxrwx. 1 root root 17 Mar 2 13:03 /etc/sysconfig/selinux -> ../selinux/config
# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
Edit file ini dan reboot sistem agar perubahan diterapkan.
Menggunakan parameter boot Kernel
Kita juga dapat menggunakan parameter boot Kernel saat boot untuk mengatur mode SELinux. Untuk mengedit ini /etc/grub.conf file dan tambahkan opsi “selinux=1 enforcing=[0|1]” ke parameter boot.
# cat /etc/grub.conf ........ root (hd0,0) kernel /vmlinuz-2.6.32-279.el6.x86_64 root=/dev/md3 selinux=1 enforcing=0 initrd /initramfs-2.6.32-279.el6.x86_64.img .........
selinux=1 –> Aktifkan SELinux
enforcing=0 –> Mode permisif
enforcing=1 –> Mode penegakan
Menonaktifkan SELinux
Terkadang ketika Anda tidak terlalu mengenal fungsionalitas SELinux, lebih baik untuk menonaktifkannya. Kami tidak dapat menonaktifkan SELinux tanpa reboot. Opsi alternatif adalah – untuk mengatur SELinux dalam mode Permisif. Untuk sepenuhnya menonaktifkan SELinux, edit file konfigurasi /etc/sysconfig/selinux atau /etc/selinux/config yang merupakan tautan lunak ke file /etc/sysconfig/selinux.
# ls -l /etc/sysconfig/selinux lrwxrwxrwx. 1 root root 17 Mar 2 13:03 /etc/sysconfig/selinux -> ../selinux/config
# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
Edit file ini dan reboot sistem agar perubahan diterapkan.
Menggunakan parameter boot Kernel untuk menonaktifkan SELinux
Cara lain untuk menonaktifkan SELinux secara permanen adalah dengan mengedit parameter boot kernel. Edit file /etc/grub.conf dan tambahkan opsi selinux=0 ke opsi booting untuk menonaktifkan SELinux saat booting. Dalam hal ini pengaturan di /etc/sysconfig/selinux diabaikan.
# cat /etc/grub.conf ........ root (hd0,0) kernel /vmlinuz-2.6.32-279.el6.x86_64 root=/dev/md3 selinux=0 initrd /initramfs-2.6.32-279.el6.x86_64.img .........