SELinux, Linux çekirdeğinde yerleşik bir zorunlu erişim denetimi (MAC) uygulayıcısıdır. Güvenlik açıkları sistem için tehdit oluşturabilecek bireysel hizmetlerin ayrıcalıklarını sınırlar.
SELinux içermeyen CentOS sistemleri, tüm ayrıcalıklı yazılım uygulamalarının yapılandırmasına güvenir. Tek bir yanlış yapılandırma, tüm sistemi tehlikeye atabilir. Bu kılavuzu izleyerek öğreneceksiniz CentOS 7’de SELinux nasıl devre dışı bırakılır.
SELinux’u Neden Devre Dışı Bırakın?
Tüm uygulamalar SELinux’u desteklemez. Bu nedenle SELinux, yazılım paketlerinin düzenli kullanımı ve kurulumu sırasında gerekli işlemleri sonlandırabilir. Bu gibi durumlarda, bu hizmeti kapatmanızı tavsiye ederiz.
Önkoşullar
- ile bir kullanıcı hesabına erişim sudo ayrıcalıklar
- Bir terminale/komut satırına erişim
- CentOS 7 gibi RHEL tabanlı bir sistem
- nano veya vim gibi bir metin düzenleyici
CentOS’ta SELinux’u Devre Dışı Bırakma Adımları
Adım 1: SELinux Durumunu Kontrol Edin
SELinux hizmeti, CentOS ve diğer birçok RHEL tabanlı sistemde varsayılan olarak etkindir. Ancak, sisteminiz için durum böyle olmayabilir.
Sisteminizdeki SELinux’un durumunu şu komutla kontrol ederek başlayın:
sestatus Aşağıdaki örnek çıktı SELinux’un etkinleştirildiğini gösterir. Durum, hizmetin kullanımda olduğunu gösterir. zorlamak mod.
SELinux, uygulamaların normal çalışmasını engelleyebilir. Hizmet şu durumlarda erişimi reddeder:
- Bir dosya yanlış etiketlenmiş.
- Uyumsuz bir uygulama, yasaklanmış bir dosyaya erişmeye çalışır.
- Bir hizmet yanlış güvenlik ilkesi altında çalışıyor.
- Bir izinsiz giriş tespit edildi.
Hizmetlerin düzgün çalışmadığını fark ederseniz, SELinux günlük dosyalarını kontrol edin. Günlükler içeride /var/log/denetim/denetim.log. En yaygın günlük mesajları “AVC” ile etiketlenir. Herhangi bir günlük bulamazsanız, içine bakmayı deneyin. /var/log/mesajlar. Sistem, günlükleri bu dosyaya yazarsa denetim arka plan programı çalışmıyor.
2. Adım: SELinux’u Devre Dışı Bırakın
1. Seçenek: SELinux’u Geçici Olarak Devre Dışı Bırakın
SELinux’u geçici olarak devre dışı bırakmak için terminalde aşağıdaki komutu yazın:
sudo setenforce 0İçinde sudo setenforce 0kullanabilirsiniz müsamahakâr 0 yerine
Bu komut SELinux modunu değiştirir. Hedeflenen ile müsamahakâr.
İçinde müsamahakâr modunda hizmet etkindir ve tüm eylemleri denetler. Ancak, herhangi bir güvenlik politikası uygulamaz. Sistem günlükleri ESÜ mesajlar.
Değişiklik yalnızca bir sonraki yeniden başlatmaya kadar etkindir. SELinux’u kalıcı olarak kapatmak için makalenin bir sonraki bölümüne bakın.
Seçenek 2: SELinux’u Kalıcı Olarak Devre Dışı Bırakın
Hizmeti kalıcı olarak devre dışı bırakmak için bir metin düzenleyici (örn. vim veya nano) kullanın ve /etc/sysconfig/selinux aşağıda belirtildiği gibi dosyalayın.
1. /etc/sysconfig/selinux dosya. kullanıyor olacağız vim. Metin editörlerine aşina değilseniz, bir dosya vim’inin nasıl kaydedileceği ve çıkılacağı ile ilgili eğitici kılavuzumuza bakın.
Dosyayı açmak için aşağıdaki komutu girin:
sudo vi /etc/sysconfig/selinux2. Değiştir SELINUX=zorlama yönergesi SELINUX=devre dışı.
3. Düzenlenen dosyayı kaydedin.
Değişiklikleri Kaydetmek için CentOS’u Yeniden Başlatın
Değişikliğin geçerli olması için, sistemi şu komutla yeniden başlatmanız gerekir:
sudo shutdown -r nowYeniden başlattıktan sonra, SELinux’un devre dışı bırakıldığını doğrulamak için hizmet durumunu kontrol edin. Şu komutu kullanın:
sestatusDurum şu olmalıdır: engelli, yukarıdaki resimde görüldüğü gibi. Sistem herhangi bir SELinux politikası yüklemeyecek veya herhangi bir ESÜ kütükler.
Çözüm
Bu makaleyi izleyerek, SELinux durumunu kontrol edebilmeli ve CentOS 7’de hizmeti devre dışı bırakabilmelisiniz. SELinux’u kalıcı olarak devre dışı bırakırken dikkatli olun. Genel olarak önerilen seçenek, müsamahakâr moda geçmektir.
SELinux hakkında daha fazla bilgi edinmek için lütfen resmi CentOS Wiki’si.