Как отключить SELinux на CentOS 8

Security Enhanced Linux или SELinux — это механизм безопасности, встроенный в ядро Linux, используемое дистрибутивами на основе RHEL.

SELinux добавляет к системе дополнительный уровень безопасности, позволяя администраторам и пользователям контролировать доступ к объектам на основе правил политики.

Правила политики SELinux определяют, как процессы и пользователи взаимодействуют друг с другом, а также как процессы и пользователи взаимодействуют с файлами. Если нет правила, явно разрешающего доступ к объекту, например, для процесса, открывающего файл, доступ запрещается.

SELinux имеет три режима работы:

Применение: SELinux разрешает доступ на основе правил политики SELinux.
Разрешающий: SELinux регистрирует только те действия, которые были бы запрещены при работе в принудительном режиме. Этот режим полезен для отладки и создания новых правил политики.
Отключено: политика SELinux не загружается, и сообщения не регистрируются.

По умолчанию в CentOS 8 SELinux включен и находится в принудительном режиме. Настоятельно рекомендуется держать SELinux в принудительном режиме. Однако иногда это может мешать работе какого-либо приложения, и вам необходимо установить его в разрешающий режим или полностью отключить.

В этом руководстве мы объясним, как отключить SELinux в CentOS 8.

Предпосылки

Только пользователь root или пользователь с привилегиями sudo может изменить режим SELinux

Проверка режима SELinux

Используйте sestatusкоманду, чтобы проверить статус и режим, в котором работает SELinux:

sestatus

SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      31

Вывод выше показывает, что SELinux включен и установлен в принудительный режим.

Изменение режима SELinux на разрешающий

Когда он включен, SELinux может находиться либо в принудительном, либо в разрешающем режиме. Вы можете временно изменить режим с целевого на разрешающий с помощью следующей команды:

sudo setenforce 0

Однако это изменение действительно только для текущего сеанса выполнения и не сохраняется между перезагрузками.

Чтобы навсегда установить разрешающий режим SELinux, выполните следующие действия:

Откройте /etc/selinux/config файл и установите SELINUX мод на permissive:

/etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Сохраните файл и выполните setenforce 0команду, чтобы изменить режим SELinux для текущего сеанса:
```
sudo shutdown -r now
```

Отключение SELinux

Вместо отключения SELinux настоятельно рекомендуется изменить режим на разрешающий. Отключите SELinux только тогда, когда это необходимо для правильной работы вашего приложения.

Выполните следующие шаги, чтобы навсегда отключить SELinux в вашей системе CentOS 8:

Откройте /etc/selinux/config файл и измените SELINUX значение на disabled:

/etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Сохраните файл и перезагрузите систему:
```
sudo shutdown -r now
```
Когда система загружается, используйте sestatusкоманду, чтобы убедиться, что SELinux отключен:
```
sestatus
```
Результат должен выглядеть так:
```
SELinux status:                 disabled
```

Вывод

SELinux — это механизм защиты системы путем реализации обязательного контроля доступа (MAC). SELinux включен по умолчанию в системах CentOS 8, но его можно отключить, отредактировав файл конфигурации и перезагрузив систему.

Чтобы узнать больше о мощных функциях SELinux, посетите руководство по CentOS SELinux .

Если у вас есть какие-либо вопросы или отзывы, оставьте комментарий ниже.

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	Этот файл cookie устанавливается подключаемым модулем GDPR Cookie Consent. Файлы cookie используются для хранения согласия пользователя на файлы cookie в категории «Необходимые».