Ang SELinux (Security Enhanced Linux) ay isang Linux kernel module na nagbibigay ng mga opsyon para sa Mandatory Access Control (MAC) na mga patakaran. Ito ay may iba't ibang command line utilities upang tumpak na makontrol ang mga aktibidad na pinapayagan para sa isang programa o isang user.
Ito ay paunang naka-install, at pinagana bilang default, sa maraming distribusyon ng Linux, karamihan sa mga distribusyon na nakabatay sa Red Hat tulad ng Fedora at CentOS.
Bagama't tiyak na nag-aalok ang SELinux ng karagdagang layer ng seguridad, mayroong patuloy na debate sa komunidad ng mga user kung kinakailangan pa nga ba ang naturang karagdagang layer kasama ng mga kasalukuyang proseso ng seguridad, proteksyon ng password, atbp.
Kung nais mong huwag paganahin ang SELinux sa iyong computer na nagpapatakbo ng CentOS 8, narito ang isang mabilis na gabay upang gawin ito.
Hindi pagpapagana ng SELinux sa CentOS 8
Una, patakbuhin natin ang utos sestatus
upang makita ang katayuan ng SELinux:
$: sestatus SELinux status: pinagana ang SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Na-load ang pangalan ng patakaran: naka-target Kasalukuyang mode: pagpapatupad ng Mode mula sa config file: pagpapatupad ng Policy MLS status: pinagana Policy deny_unknown status: pinapayagan Memory pagsuri sa proteksyon: aktwal (secure) Max na bersyon ng patakaran ng kernel: 31
Gaya ng ipinapakita sa katayuan, ang SELinux ay kasalukuyang pinagana sa system at nakatakda sa 'pagpapatupad' na mode. Maaari mo itong itakda sa 'permissive' mode o ganap na huwag paganahin ito. Sa post na ito kami ay magtutuon sa hindi pagpapagana ng SELinux.
Upang hindi paganahin ang SELinux sa CentOS, buksan ang file /etc/selinux/config
at pagbabago SELINUX=pagpapatupad
o SELINUX=permissive
halaga sa SELINUX=may kapansanan
tulad ng ipinapakita sa ibaba:
# Kinokontrol ng file na ito ang estado ng SELinux sa system. # SELINUX= ay maaaring tumagal ng isa sa tatlong value na ito: # enforcing - Ipinapatupad ang patakaran sa seguridad ng SELinux. # permissive - Ang SELinux ay nagpi-print ng mga babala sa halip na ipatupad. # disabled - Walang patakarang SELinux ang na-load. Ang SELINUX=disabled # SELINUXTYPE= ay maaaring tumagal ng isa sa tatlong value na ito: # targeted - Pinoprotektahan ang mga naka-target na proseso, # minimum - Pagbabago ng naka-target na patakaran. Mga napiling proseso lamang ang pinoprotektahan. # mls - Multi Level Security na proteksyon. SELINUXTYPE=naka-target
Dahil ang SELinux ay isang kernel module, nangangailangan ito ng pag-restart ng computer para mabasa ng kernel ang na-update na configuration file at mai-load ang system na may SELinux na hindi pinagana.
sudo shutdown -r
Pagkatapos mag-boot muli ang computer, tumakbo sestatus
upang i-verify kung hindi pinagana ang SELinux :
$: sestatus SELinux status: hindi pinagana
? Cheers!