SELinux là mô-đun bảo mật hạt nhân Linux cung cấp một cơ chế hỗ trợ các chính sách bảo mật kiểm soát truy cập , bao gồm các điều khiển truy cập bắt buộc (MAC). Nó được tạo bởi tổ chức lớn của NSA. Nó là một tập hợp các sửa đổi kernel và các công cụ không gian người dùng đã được thêm vào các bản phân phối Linux khác nhau. Kiến trúc của nó cố gắng tách biệt việc thực thi các quyết định bảo mật khỏi chính sách bảo mật và hợp lý hóa số lượng phần mềm liên quan đến thực thi chính sách bảo mật.Quyền hạn của SELinux chính là thiết lập các rule làm khóa truy cập vào các ứng dụng, file,… trên CentOS/RHEL.
1. Ta có nên tắt SELinux đi hay không?
Bạn nên biết rằng khi bạn tắt tính năng dịch vụ SELinux đi, tức là bạn đang loại bỏ một cơp chế bảo vệ hệ thống của bạn khỏi những rủi ro về bảo mật. Nó là một cơ chế bảo vệ Linux dạng nâng cao của CentOS/RHEL.
Tuy nhiên với những người dùng như quản lý VPS/Hosting hay những người không cần sự rườm rà thì hãy tắt luôn tính năng SELinux đi. Vì khi bạn tiến hành cài đặt vận hành hệ thống Linux trên CentOS/RHEL sẽ rất hay vướng phải các rule quản lý quyền hạn của SELinux gây tốn nhiều thời gian để tìm hiểu và xử lý vấn đề. Gây gián đoạn hoạt động của dịch vụ khác.
Dưới đây tôi sẽ hướng dẫn các bạn một số cách để tắt SELinux.
2. Các chế độ của SELinux
SeLinux có 3 chế độ hoạt động cơ bản:
- Enforcing: Chế độ mặc định sẽ cho phép và thực thi chính sách bảo mật SELinux trên hệ thống, từ chối các hành động truy cập và ghi nhật ký.
- Permissive: Trong chế độ Permissive, SELinux được kích hoạt nhưng sẽ không thực thi chính sách bảo mật, chỉ cảnh báo và ghi lại các hành động. Chế độ Permissive hữu ích cho việc khắc phục sự cố SELinux.
- Disabled: SELinux bị vô hiệu hóa hoặc bị tắt đi.
3. Hướng dẫn tắt SELinux
- Đầu tiên bạn kiểm tra trạng thái của dịch vụ SELinux bằng câu lệnh:
# sestatusSELinux status: disabled
- Nếu là trạng thái “ disabled” tức là tính năng SELinux đã được tắt rồi. còn nếu là “ enforcing” thì ta có 2 cách sau để tắ SELinux.
3.1. Tắt SELinux tạm thời
- Ta sẽ chỉ tắt SELinux tạm thời trong thời gian hệ thống còn đang hoạt động. Nếu hệ thống restart lại thì tính năng của SELinux sẽ khôi phục lại trạng thái ban đầu trước khi tắt tạm thời.
- Để tắt tạm thời ta làm như sau:
# echo 0 > /selinux/enforce# Hoặc# setenforce 0
- Để quay lại trạng thái chưa bị vô hiệu hóa ta sử dụng câu lệnh sau:
# echo 1 > /selinux/enforce# Hoặc# setenforce 1
3.2. Tắt SELinux vĩnh viễn
- Để tắt vĩnh viễn chức năng của dịch vụ ta làm như sau. Bạn vào file /etc/selinux/config, thay đổi giá trị cấu hình SELinux từ ” enforcing” sang “disabled”.
# vi /etc/selinux/config
# This file controls the state of SELinux on the system.# SELINUX= can take one of these three values:# enforcing - SELinux security policy is enforced.# permissive - SELinux prints warnings instead of enforcing.# disabled - No SELinux policy is loaded.SELINUX=disabled# SELINUXTYPE= can take one of these two values:# targeted – Targeted processes are protected,# minimum – Modification of targeted policy. Only selected processes are protected.# mls – Multi Level Security protection.SELINUXTYPE=targeted
- Sau khi tiến hành thay đổi bạn lưu lại và thoát ra bằng lệnh “:wq”
- Để hệ thống lưu lại và áp dụng cấu hình SELinux mới bạn cần reboot lại.
# reboot
- Sau đó bạn có thể kiểm tra lại trạng thái bằng lệnh “sestatus”
# sestatus
Như vậy ta đã hoàn thành việc vô hiệu hóa SELinux trên CentOS một cách nhanh nhất.
Chúc các bạn thành công!
Mọi đóng góp xin comment bên dưới
Không có nhận xét nào:
Đăng nhận xét