Centos 7 – SELinux de­ak­ti­vie­ren

SELinux (Security-Enhanced Linux) ist eine Linux-Kernel-Erweiterung die den Zugriff auf bestimmte Ressourcen kontrolliert.

SELinux ist bei einer CentOS 7 Installation per Default aktiviert.

Wenn diese Feature nicht benötig wird kann SELinux auch deaktiviert werden. Wie das funktioniert beschreibt folgender Artikel. Die beschriebenen Einstellungen müssen als priviligierter User (root) erfolgen.

SELinux Status anzeigen

Um den aktuellen Zustand von SELinux auszulesen hilft und der Befehl sestatus. Die folgende Anzeige stellt die Ausgabe bei aktiviertem SELinux dar.

sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

SELinux deaktiveren

Um SELinux zu deaktivieren wird die Konfigurationsdatei unter /etc/sysconfig/selinux angepasst. Dabei kann zwischen folgenden Einstellungen gewählt werden.

  • enforcing – SELinux ist aktiviert
  • permissive – SELinux ist aktiv aber nur Protokollierung
  • disabled – SELinux deaktivert
vi /etc/sysconfig/selinux
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Damit diese Änderungen wirksam werden muss der Server neu gestartet werden.

reboot
sestatus
SELinux status:                 disabled

Die Ausgabe von sestatus zeigt, dass SELinux in diesem Fall deaktiviert wurde.

Soll SELinux aktiv bleiben und nur das Verhalten umgestellt werden kann dies auch mit dem Befehl setenforce ohne Neustart durchgeführt werden.

  • setenforce 1 – enforcing
  • setenforce 0 – permissive
setenforce 0
sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

Eine gute Dokumentation zu SELinux findet man auf der Webseite des Fedora-Projektes.

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.