Dezactivați SELinux pe CentOS, fedora

Dezactivați SELinux pe CentOS, Fedora

SELinux (Linux Security-Enhanced) - un sistem de control al accesului obligatoriu, acesta poate funcționa în paralel cu sistemul standard de control al accesului clasic în Linux. SELinux pot crea reguli pentru manipularea utilizator sau un program care face posibilă limitarea unor oportunități de acces la ele. Acest material descrie modul de setare a modului diferit subsistem de protecție sau opriți-l în sistemul de operare Linux, pur și simplu.

Comandă / usr / sbin / getenforce și / usr / sbin / sestatus utilizat pentru a verifica starea curentă a SELinux. întoarce comanda getenforce de executare. Permisivă. sau persoane cu handicap. se întoarce comanda getenforce când SELinux Respectarea drepturilor activat (reguli de politică SELinux sunt obligatorii):

comandă getenforce se întoarce atunci când Permisiv SELinux este activat, dar regulile de politică SELinux nu sunt puse în aplicare obligatorie, și utilizate numai regulile DAC. întoarce comanda getenforce cu handicap. în cazul în care SELinux este dezactivat.

sestatus comandă returnează starea SELinux și politica SELinux utilizate:

Înțeles Starea SELinux: activat atunci când a revenit SELinux activat. Modul curent: Aplicarea prevederilor este returnat atunci când SELinux este inclus în modul de executare obligatorie. Politica de fișier de configurare: direcționate întoarce atunci când se utilizează SELinux politici direcționate.

managementul SELinux

În sistemele de operare cu deconectat SELinux, opțiunea configurată SELINUX = dezactivat în / etc / selinux / config:

De asemenea, se întoarce comanda getenforce cu handicap:

Pentru a activa SELinux:

Utilizați -qa comanda rpm | grep SELinux. rpm -Q policycoreutils. și -qa rpm | grep setroubleshoot pentru a verifica instalarea pachetelor SELinux. Acest ghid presupune următoarele pachete sunt instalate: direcționate SELinux-politica. SELinux-politica. libselinux. libselinux-python. libselinux-utils. policycoreutils. setroubleshoot. setroubleshoot-server. setroubleshoot-plugins. Dacă aceste pachete nu sunt instalate, instalați-le ca root folosind yum install comanda nume-pachet. Următoarele pachete sunt opționale: policycoreutils-gui. setroubleshoot. SELinux-politica-devel. și mcstrans.

Înainte de a SELinux este activată, fiecare fișier de sistem de fișiere ar trebui să fie marcate context SELinux. Inainte de acest lucru se întâmplă, domenii limitate poate fi refuzat accesul, ceea ce va duce la incorecte de încărcare a sistemului de operare. Comanda. Pentru a preveni acest lucru, ajustați SELINUX = permisivă în fișierul / etc / selinux / config:

Ca utilizator root, rulați comanda de repornire pentru a reporni sistemul de operare. În timpul următoarea inițializare a sistemului sunt marcate sisteme de fișiere. proces de marcare pune tag-uri pentru toate fișierele în contextul SELinux:

* Fiecare personaj în ultimul rând reprezintă 1000 de fișiere care au fost etichetate. In exemplul de mai sus, patru simbol * înseamnă că 4.000 de dosare au fost marcate. marcând toate fișierele Timpul total depinde de numărul total de fișiere și viteza de hard disk-uri. Pe sistemele moderne, acest proces durează un pic mai puțin de 10 minute.

În modul permisiv, a impune politici SELinux nu este atribuită, dar interdicțiile sunt înregistrate pentru acțiuni care nu ar fi permise în modul de executare. Înainte de a merge în modul de aplicare, ca root executați comanda grep „SELinux este prevenirea“ / var / log / mesaje. în scopul de a se asigura că SELinux nu interzice acțiunile în timpul ultimei cizma. În cazul în care SELinux nu interzice acțiunile în timpul ultimei ghetei, această comandă nu se întoarce nici o ieșire.

În cazul în care nici un raport de interdicții în / var / log / mesaje. apoi ajustați SELINUX = aplicarea în / etc / selinux / config:

Reporniți sistemul de operare. După repornire, asigurați-vă că se întoarce comanda getenforce Respectarea drepturilor:

În cazul în care acest lucru nu este cazul, executați următoarea comandă ca root pentru a corecta erorile de pe ecran pentru utilizator. Mai sigur de a ignora avertismentul numele de utilizator SELinux-utilizator este deja definit. în cazul în care acestea apar, în cazul în care numele de utilizator poate fi unconfined_u. guest_u. sau xguest_u:

/ Usr / sbin / utilizator semanage -a-S vizate -P utilizator -R «unconfined_r system_r» -r s0-s0: c0.c1023 unconfined_u

/ Usr / sbin / semanage -m autentificare -S vizate -s «unconfined_u» -r S0-S0: c0.c1023 __default__

/ Usr / sbin / semanage -m autentificare -S vizate -s «unconfined_u» -r S0-S0: c0.c1023 rădăcină

/ Usr / sbin / utilizator semanage -a-S vizate -P utilizator -R guest_r guest_u

/ Usr / sbin / utilizator semanage -a-S vizate -P utilizator -R xguest_r xguest_u