Em alguma distribuição do Linux, o SELinux está ativado por padrão, o que pode causar alguns problemas indesejados, se você não entender como o SELinux funciona e os detalhes fundamentais sobre como configurá-lo. Recomendo vivamente que você compreenda o SELinux e o implemente em seu ambiente. Mas, até entender os detalhes de implementação do SELinux, você pode desativá-lo para evitar alguns problemas desnecessários.
 
Para desativar o SELinux você pode usar qualquer um dos 4 métodos diferentes mencionadas neste artigo.

O SELinux fará cumprir políticas de segurança, incluindo os controles de acesso obrigatórios definidos pelo Departamento de Defesa dos EUA usando o Linux Security Module (LSM) definido no Linux Kernel. Cada arquivo e processo no sistema serão marcados com etiquetas específicas que serão usadas pelo SELinux. Você pode usar ls -Z e exibir esses rótulos como mostrado abaixo.

  # Ls-Z / etc / 
  -rw-r -r-- root root system_u: object_r: etc_t: s0 a2ps.cfg
 -rw-r - r - root system_u: object_r: adjtime_t: s0 adjtime
 -rw-r - r - root system_u: object_r: etc_aliases_t: s0 aliases
 Drwxr-x --- raiz root system_u: object_r: auditd_etc_t: s0 audit
 Drwxr-xr-x raiz root system_u: object_r: etc_runtime_t: s0 blkid
 Drwxr-xr-x raiz root system_u: object_r: bluetooth_conf_t: s0 bluetooth
 Drwx ------ root root system_u: object_r: system_cron_spool_t: s0 cron.d
 -rw-rw-r-- disco raiz system_u: object_r: amanda_dumpdates_t: s0 dumpdates

Método 1: Desativar SELinux temporariamente

Para desabilitar temporariamente o SELinux, você deve modificar o arquivo / selinux / enforce, conforme mostrado abaixo. Tenha em atenção que esta definição desaparecerá após a reinicialização do sistema.

  # Cat / selinux / enforce
 1

 # Echo 0> / selinux / enforce

 # Cat / selinux / enforce
 0

 
Você também pode usar o comando setenforce como mostrado abaixo para desabilitar o SELinux. Os parâmetros possíveis para os comandos setenforce são: Enforcing, Permissive, 1 (enable) ou 0 (disable).

  # Setenforce 0

Método 2: Desativar SELinux permanentemente

Para desativar o SELinux permanentemente, modifique o / etc / selinux / config e defina o SELINUX = desabilitado conforme mostrado abaixo. Um que você faça alterações no / etc / selinux / config, reinicie o servidor para que as alterações sejam consideradas.

  # Cat / etc / selinux / config
 SELINUX = desativado
 SELINUXTYPE = segmentado
 SETLOCALDEFS = 0

 
A seguir estão os valores possíveis para a variável SELINUX no arquivo / etc / selinux / config

  • aplicação – A política de segurança é sempre Encoforced
  • permissiva – Isso só simula a política de aplicação de apenas imprimir mensagens de aviso e não realmente fazer cumprir a SELinux. Isso é bom para ver primeiro como o SELinux funciona e depois descobrir quais políticas devem ser aplicadas.
  • deficientes – desativar completamente o SELinux

 
A seguir estão os valores possíveis para variável SELINUXTYPE na selinux / config / arquivo / etc. Isso indica o tipo de diretivas que podem ser usadas para o SELinux.

  • alvo – Esta política será protegida daemons de rede orientadas exclusivamente específicas.
  • estrita – Isto é para a máxima proteção SELinux.

Método 3: Desabilitar o SELinux do Grub Boot Loader

Se você não conseguir localizar o arquivo / etc / selinux / config no seu sistema, poderá desabilitar o SELinux passando-o como parâmetro para o Grub Boot Loader, como mostrado abaixo.

  # /boot/grub/grub.conf Gato
 Default = 0
 Timeout = 5
 Splashimage = (hd0,0) /boot/grub/splash.xpm.gz
 Hiddenmenu
 Título Enterprise Linux Enterprise Linux Server (2.6.18-92.el5PAE)
 Root (hd0,0)
 kernel do /boot/vmlinuz-2.6.18-92.el5PAE ro root = LABEL = / selinux rhgb tranquila = 0
 Initrd /boot/initrd-2.6.18-92.el5PAE.img
 Título Enterprise Linux Enterprise Linux Server (2.6.18-92.el5)
 Root (hd0,0)
 kernel do /boot/vmlinuz-2.6.18-92.el5 ro root = LABEL = / selinux rhgb tranquila = 0
 Initrd /boot/initrd-2.6.18-92.el5.img

Método 4: Desativar somente um serviço específico no SELinux – HTTP / Apache

Se você não está interessado em incapacidade todo o SELinux, você também pode desabilitar o SELinux apenas para um serviço específico. Por exemplo, não desativar o SELinux para HTTP / serviço Apache, modificar a variável httpd_disable_trans na selinux / arquivo / booleans / etc / alvejado.
 
Defina a variável httpd_disable_trans como 1, como mostrado abaixo.

  # Grep httpd / etc / selinux / targeted / booleans
 Httpd_builtin_scripting = 1
 Httpd_disable_trans = 1 
  Httpd_enable_cgi = 1
 Httpd_enable_homedirs = 1
 Httpd_ssi_exec = 1
 Httpd_tty_comm = 0
 Httpd_unified = 1

 
Defina o valor booleano SELinux usando o comando setsebool como mostrado abaixo. Certifique-se de reiniciar o serviço HTTP após essa alteração.

  # Setsebool httpd_disable_trans 1 
  # Service httpd restart
Anúncios