Pertanyaan :Bagaimana cara menonaktifkan SELinux (Security Enhanced Linux) sepenuhnya atau menyetelnya ke mode “permisif”
Jawaban :
SELinux memberikan lapisan keamanan ekstra itu ke sumber daya dalam sistem. Ini memberikan MAC (kontrol akses wajib) yang bertentangan dengan DAC (Kontrol akses diskresioner). Sebelum kita masuk ke pengaturan mode SELinux, mari kita lihat apa saja mode operasi SELinux yang berbeda dan bagaimana cara kerjanya. SELinux dapat beroperasi di salah satu dari 3 mode :
1. Diberlakukan :Tindakan yang bertentangan dengan kebijakan diblokir dan peristiwa terkait dicatat dalam log audit.
2. Permisif :Tindakan yang bertentangan dengan kebijakan hanya dicatat dalam log audit.
3. Dinonaktifkan :SELinux dinonaktifkan seluruhnya.
Untuk menonaktifkan SELinux sepenuhnya , gunakan salah satu metode berikut:
1. Edit /etc/selinux/config (diperlukan boot ulang)
Ubah nilai SELINUX menjadi SELINUX=disabled dalam file /etc/selinux/config.
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
Nyalakan ulang server.
# shutdown -r now
2. Tambahkan opsi boot kernel
Edit baris boot kernel di /boot/grub/grub.conf dan tambahkan selinux=0 ke opsi boot kernel. Misalnya:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet selinux=0 initrd /initrd-2.6.9-42.ELsmp.img
Nyalakan ulang server.
# shutdown -r now
Untuk menyetel SELinux ke mode Permisif , gunakan salah satu metode berikut:
1. Setel mode SELinux ke Permisif sementara (tanpa reboot)
Perintah setenforce digunakan untuk mengubah antara mode enforcing dan permissive. Untuk mengubah ke mode permisif:
# setenforce 0
Gunakan perintah getenforce untuk melihat mode SELinux saat ini:
# getenforce Permissive
2. Menyetel SELinux ke mode Permisif secara permanen
a. Edit /etc/selinux/config
Ubah nilai SELINUX menjadi “SELINUX=permissive”
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=permissive # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
b. Tambahkan opsi boot kernel
Edit baris boot kernel dan tambahkan “enforcing=0” ke opsi boot kernel (Dengan asumsi SELinux tidak disetel ke dinonaktifkan seperti pada bagian di atas). Misalnya:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0 initrd /initrd-2.6.9-42.ELsmp.img
Nyalakan ulang server.
# shutdown -r now
Untuk memeriksa status SELinux, terbitkan:
# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: permissive Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28Cara Memeriksa apakah SELinux Diaktifkan atau Dinonaktifkan