Cách tắt SELinux trên CentOS 8

Tác giả Network Engineer, T.M.Hai 30, 2021, 06:31:47 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Cách tắt SELinux trên CentOS 8


Thông thường, Linux được coi là một trong những nền tảng an toàn nhất, đáng tin cậy và hiệu suất cao. Nó đi kèm với nhiều thủ thuật khác nhau để cung cấp một môi trường an toàn nhưng mạnh mẽ. Một trong những tính năng đó là SELinux (Security-Enhanced Linux). Đó là một kiến ​​trúc bảo mật cấp Kernel cho phép quản trị viên hệ thống có nhiều quyền kiểm soát hơn đối với những người truy cập vào máy tính.

Trong trường hợp RHEL/CentOS, tính năng SELinux được bật theo mặc định. Vì lý do bảo mật, bạn nên tiếp tục bật. Tuy nhiên, trong một số trường hợp nhất định, bạn có thể cần phải vô hiệu hóa nó. Ví dụ: không phải mọi ứng dụng đều có thể hoạt động bình thường khi SELinux được bật. Trong trường hợp như vậy, bạn có thể muốn tắt SELinux.

1. SELinux là gì

SELinux có một lịch sử nguồn gốc thú vị. Nó được phát triển lần đầu tiên bởi Cơ quan An ninh Quốc gia Hoa Kỳ, còn được gọi là NSA như một bản vá cho Kernel Linux bằng cách sử dụng Mô-đun Bảo mật Linux. Nó được phát hành cho cộng đồng mã nguồn mở vào năm 2000. SELinux được tích hợp như một phần của Kernel Linux bắt đầu từ năm 2003.

Có hai cách tắt SELinux. Có thể tắt SELinux tạm thời hoặc vĩnh viễn. Tùy theo trường hợp của bạn cần gì mà thực hiện theo phương pháp phù hợp. Lưu ý rằng hệ thống tương đối dễ bị tổn thương hơn khi SELinux bị vô hiệu hóa, vì vậy hãy suy nghĩ kỹ trước khi thực hiện chuyển đổi.

2. Kiểm tra trạng thái SELinux

Đầu tiên, hãy kiểm tra trạng thái của SELinux. Chạy lệnh sau.

Mã nguồn [Chọn]
$ sestatus

3. Vô hiệu hóa tạm thời SELinux

Các quy trình sau đây sẽ tạm thời vô hiệu hóa SELinux. Khi hệ thống khởi động, nó sẽ chuyển trở lại cấu hình SELinux mặc định.

Lệnh setenforce là công cụ mặc định để thiết lập trạng thái SELinux. Nếu bạn đặt chế độ SELinux bằng setenforce, thì bạn không cần phải khởi động lại hệ thống. Chạy lệnh sau để đặt SELinux thành Permissive.

Mã nguồn [Chọn]
$ setenforce 0

Thay vì sử dụng giá trị số, bạn cũng có thể sử dụng thuật ngữ thay thế "Permissive".

Mã nguồn [Chọn]
$ setenforce Permissive

Kiểm tra kết quả của lệnh setenforce.

Mã nguồn [Chọn]
$ sestatus

Một cách khác là chỉnh sửa thủ công tập tin cấu hình SELinux. Mở tập tin trong trình soạn thảo văn bản yêu thích của bạn. Mình sẽ mở nó bằng Vim.

Mã nguồn [Chọn]
$ vim /etc/selinux/config

Thay đổi giá trị của "SELINUX" thành Permissive.

Mã nguồn [Chọn]
SELINUX=permissive

Lưu các tập tin. Bạn có thể muốn khởi động lại hệ thống sau khi thực hiện thay đổi này. Kiểm tra kết quả sau khi chỉnh sửa tập tin cấu hình.

Mã nguồn [Chọn]
$ sestatus

4. Vô hiệu hóa vĩnh viễn SELinux

Phương pháp này sẽ vô hiệu hóa vĩnh viễn SELinux. Để bật lại SELinux, bạn phải hoàn nguyên thủ công các thay đổi được thực hiện trong phương pháp này.

Mở tập tin cấu hình SELinux bằng trình soạn thảo văn bản yêu thích của bạn. Trong trường hợp của mình, mình sẽ sử dụng Vim.

Mã nguồn [Chọn]
$ vim /etc/sysconfig/selinux
Ở đây, biến "SELINUX" xác định trạng thái của SELinux. Như bạn có thể thấy, có ba khả năng có thể. Cuộn xuống biến "SELINUX" và thay đổi giá trị của nó thành "disabled".

Mã nguồn [Chọn]
SELINUX=disabled

Lưu tập tin và đóng trình chỉnh sửa. Hệ thống cần khởi động lại để các thay đổi có hiệu lực. Sau khi khởi động lại, hãy kiểm tra trạng thái SELinux.

Mã nguồn [Chọn]
$ sestatus

5. Bật SELinux

Bạn cần bật lại SELinux? Tùy thuộc vào bất kỳ phương pháp nào bạn đã làm theo, cách kích hoạt SELinux sẽ khác nhau.

Đầu tiên, vô hiệu hóa tạm thời. Nếu bạn đã sử dụng lệnh setenforce để tắt SELinux, thì một lần khởi động lại hệ thống đơn giản sẽ đưa trạng thái SELinux trở lại mặc định.

Nếu khởi động lại không phải là một tùy chọn, thì hãy sử dụng lại lệnh setenforce để gán lại giá trị theo cách thủ công.

Mã nguồn [Chọn]
$ setenforce 1

Như chúng ta đã thấy trước đó, cũng có thể sử dụng một giá trị thay thế với setenforce.

Mã nguồn [Chọn]
$ setenforce Enforcing

Nếu bạn đã chỉnh sửa thủ công tập tin cấu hình SELinux, thì bạn phải hoàn nguyên nó theo cách thủ công. Mở tập tin cấu hình trong trình soạn thảo văn bản.

Mã nguồn [Chọn]
$ vim /etc/selinux/config
Đặt giá trị của "SELINUX" trở lại thành "enforcing". Sau đó, lưu tập tin và khởi động lại hệ thống.

Mã nguồn [Chọn]
SELINUX = enforcing

Kiểm tra trạng thái SELinux để xác minh các thay đổi.

Mã nguồn [Chọn]
$ sestatus

Vô hiệu hóa SELinux là một nhiệm vụ rất đơn giản. Phương pháp này cũng sẽ hoạt động với các bản phân phối khác có hỗ trợ SELinux.

Quan tâm đến việc làm cho hệ thống của bạn an toàn hơn? Sau đó, chúng ta hãy xem danh sách kiểm tra tăng cường bảo mật của Linux. Nó sẽ hoạt động như một phần giới thiệu nhanh chóng nhưng hữu ích về thế giới bảo mật Linux.