Pendahuluan
SELinux adalah penegak kontrol akses wajib (MAC) yang dibangun ke dalam kernel Linux. Ini membatasi hak istimewa layanan individu yang kerentanannya mungkin menjadi ancaman bagi sistem.
Sistem CentOS tanpa SELinux bergantung pada konfigurasi semua aplikasi perangkat lunak istimewanya. Satu kesalahan konfigurasi dapat membahayakan seluruh sistem. Dengan mengikuti panduan ini, Anda akan mempelajari cara menonaktifkan SELinux di CentOS 7 .
Mengapa Menonaktifkan SELinux?
Tidak semua aplikasi mendukung SELinux. Oleh karena itu, SELinux dapat menghentikan proses yang diperlukan selama penggunaan reguler dan instalasi paket perangkat lunak. Dalam kasus tersebut, kami menyarankan Anda untuk mematikan layanan ini.
Prasyarat
- Akses ke akun pengguna dengan sudo hak istimewa
- Akses ke terminal/baris perintah
- Sistem berbasis RHEL, seperti CentOS 7
- Editor teks, seperti nano atau vim
Langkah-Langkah Menonaktifkan SELinux di CentOS
Langkah 1:Periksa Status SELinux
Layanan SELinux diaktifkan secara default pada CentOS dan sebagian besar sistem berbasis RHEL lainnya. Namun, ini mungkin tidak berlaku untuk sistem Anda.
Mulailah dengan memeriksa status SELinux di sistem Anda dengan perintah:
sestatus Contoh output di bawah ini menunjukkan bahwa SELinux diaktifkan. Status menunjukkan layanan dalam menerapkan modus .
SELinux dapat mencegah fungsi normal aplikasi. Layanan menolak akses jika:
- Sebuah file salah diberi label.
- Aplikasi yang tidak kompatibel mencoba mengakses file terlarang.
- Layanan berjalan di bawah kebijakan keamanan yang salah.
- Terdeteksi adanya penyusupan.
Jika Anda melihat bahwa layanan tidak berjalan dengan benar, periksa file log SELinux. Log ada di /var/log/audit/audit.log . Pesan log yang paling umum diberi label dengan "AVC." Jika Anda tidak dapat menemukan log apa pun, coba cari di /var/log/messages . Sistem menulis log di file itu jika auditd daemon tidak berjalan.
Langkah 2:Nonaktifkan SELinux
Opsi 1:Nonaktifkan SELinux Sementara
Untuk menonaktifkan SELinux sementara, ketik perintah berikut di terminal:
sudo setenforce 0Di sudo setenforce 0 , Anda dapat menggunakan permisif bukannya 0.
Perintah ini mengubah mode SELinux dari ditargetkan untuk permisif .
Dalam permisif mode, layanan aktif dan mengaudit semua tindakan. Namun, itu tidak menerapkan kebijakan keamanan apa pun. Sistem mencatat AVC pesan.
Perubahan hanya aktif sampai reboot berikutnya. Untuk mematikan SELinux secara permanen, lihat bagian artikel selanjutnya.
Opsi 2:Nonaktifkan SELinux Secara Permanen
Untuk menonaktifkan layanan secara permanen, gunakan editor teks (mis., vim atau nano) dan edit /etc/sysconfig/selinux file seperti yang diinstruksikan di bawah ini.
1. Buka /etc/sysconfig/selinux mengajukan. Kami akan menggunakan vim . Jika Anda tidak terbiasa dengan editor teks, lihat panduan instruksional kami tentang cara menyimpan dan keluar dari file vim.
Masukkan perintah berikut untuk membuka file:
sudo vi /etc/sysconfig/selinux2. Ubah SELINUX=enforcing arahan ke SELINUX=disabled.
3. Simpan file yang telah diedit.
Reboot CentOS untuk Menyimpan Perubahan
Agar perubahan diterapkan, Anda perlu me-reboot sistem dengan perintah:
sudo shutdown -r nowSetelah Anda reboot, periksa status layanan untuk mengonfirmasi bahwa SELinux dinonaktifkan. Gunakan perintah:
sestatusStatusnya harus dinonaktifkan , seperti yang terlihat pada gambar di atas. Sistem tidak akan memuat kebijakan SELinux atau menulis AVC . apa pun log.