Présentation
SELinux est un exécuteur de contrôle d'accès obligatoire (MAC) intégré au noyau Linux. Il limite les privilèges des services individuels dont les vulnérabilités pourraient constituer une menace pour le système.
Les systèmes CentOS sans SELinux reposent sur la configuration de toutes ses applications logicielles privilégiées. Une seule erreur de configuration peut compromettre l'ensemble du système. En suivant ce guide, vous apprendrez comment désactiver SELinux sur CentOS 7 .
Pourquoi désactiver SELinux ?
Toutes les applications ne prennent pas en charge SELinux. Par conséquent, SELinux peut mettre fin aux processus nécessaires lors de l'utilisation et de l'installation régulières de packages logiciels. Dans ces cas, nous vous conseillons de désactiver ce service.
Prérequis
- Accès à un compte utilisateur avec sudo privilèges
- Accès à un terminal/ligne de commande
- Un système basé sur RHEL, tel que CentOS 7
- Un éditeur de texte, tel que nano ou vim
Étapes pour désactiver SELinux sur CentOS
Étape 1 :Vérifier l'état de SELinux
Le service SELinux est activé par défaut sur CentOS et la plupart des autres systèmes basés sur RHEL. Cependant, cela pourrait ne pas être le cas pour votre système.
Commencez par vérifier l'état de SELinux sur votre système avec la commande :
sestatus L'exemple de sortie ci-dessous indique que SELinux est activé. L'état indique que le service est en cours d'application mode .
SELinux peut empêcher le fonctionnement normal des applications. Le service refuse l'accès si :
- Un fichier est mal étiqueté.
- Une application incompatible tente d'accéder à un fichier interdit.
- Un service s'exécute avec une stratégie de sécurité incorrecte.
- Une intrusion est détectée.
Si vous remarquez que les services ne fonctionnent pas correctement, vérifiez les fichiers journaux de SELinux. Les journaux sont dans /var/log/audit/audit.log . Les messages de journal les plus courants sont étiquetés avec "AVC". Si vous ne trouvez aucun journal, essayez de regarder dans /var/log/messages . Le système écrit des journaux dans ce fichier si le auditd le démon n'est pas en cours d'exécution.
Étape 2 :Désactiver SELinux
Option 1 :Désactiver temporairement SELinux
Pour désactiver temporairement SELinux, tapez la commande suivante dans le terminal :
sudo setenforce 0Dans sudo setenforce 0 , vous pouvez utiliser permissive au lieu de 0.
Cette commande change le mode SELinux de ciblé à permissif .
En permissif mode, le service est actif et audite toutes les actions. Cependant, il n'applique aucune politique de sécurité. Le système enregistre AVC messages.
La modification n'est active que jusqu'au prochain redémarrage. Pour désactiver définitivement SELinux, reportez-vous à la section suivante de l'article.
Option 2 :Désactiver SELinux de façon permanente
Pour désactiver le service de manière permanente, utilisez un éditeur de texte (par exemple, vim ou nano) et modifiez le fichier /etc/sysconfig/selinux fichier comme indiqué ci-dessous.
1. Ouvrez le fichier /etc/sysconfig/selinux dossier. Nous utiliserons vim . Si vous n'êtes pas familier avec les éditeurs de texte, reportez-vous à notre guide d'instructions sur la façon d'enregistrer et de quitter un fichier vim.
Saisissez la commande suivante pour ouvrir le fichier :
sudo vi /etc/sysconfig/selinux2. Modifiez le SELINUX=enforcing directive à SELINUX=disabled.
3. Enregistrez le fichier modifié.
Redémarrez CentOS pour enregistrer les modifications
Pour que la modification prenne effet, vous devez redémarrer le système avec la commande :
sudo shutdown -r nowAprès le redémarrage, vérifiez l'état du service pour confirmer que SELinux est désactivé. Utilisez la commande :
sestatusLe statut doit être désactivé , comme le montre l'image ci-dessus. Le système ne chargera aucune politique SELinux et n'écrira aucun AVC journaux.