Cuongquach.com sẽ giúp bạn tìm hiểu cách thức để tắt SELinux trên CentOS/RHEL (disable SELinux trên CentOS). Vì sao phải tắt ư ? Bạn có thể tiếp tục đọc nội dung bên dưới. Mà bài viết này sẽ không nói chi tiết tìm hiểu sâu về dịch vụ SELinux nhé.
Contents
1. Tổng quan SELinux là gì ?
SELinux (Security-Enhanced Linux) được tạo bởi tổ chức lớn của NSA. Quyền năng của SELinux chính là thiết lập các rule làm khoá các truy cập vào ứng dụng, file,.. trên CentOS/RHEL. Khá là thú vị phải không nào ? Những tiện lợi về bảo mật khi sử dụng SELinux (hoặc Apparmor) vượt trôi hơn so với những nhược điểm mà nó có.
2. Liệu ta có nên tắt SELinux không ?
Bạn nên nhận thức rằng khi bạn tắt tính năng dịch vụ SELinux đi, tức bạn đang loại bỏ một cơ chế bảo vệ hệ thống khỏi những rủi ro bảo mật. Nhưng cũng cần phải hiểu rằng SELinux là một cơ chế bảo mật Linux thuộc dạng nâng cao của CentOS/RHEL nên việc tìm hiểu cách sử dụng thông thạo cũng mất không ít thời gian. Và tất nhiên nếu bạn đã biết cách dùng SELinux rồi thì thật tuyệt khi hệ thống CentOS/RHEL của bạn đang được mang một lớp áo bảo vệ mạnh mẽ.
Tuy nhiên theo ý kiến của mình, với những người dùng cơ bản như quản lý VPS/Hosting hay những người không cần sự rườm rà thì hãy tắt luôn tính năng SELinux đi. Vì khi bạn cài đặt vận hành hệ thống Linux trên CentOS/RHEL sẽ rất hay vướng phải các rule quản lý quyền hạn của SELinux. Gây rất nhiều thời gian tìm hiểu và xử lý vấn đề, gián đoạn hoạt động dịch vụ khác.
3. Hướng dẫn tắt SELinux (disable SELinux)
Các bước để tắt dịch vụ SELINUX trên CentOS/RHEL 6/7. Đầu tiên bạn nên kiểm tra trạng thái của dịch vụ SELinux.
# sestatus SELinux status: disabled
Nếu trạng thái là “disabled” như trên thì tức tính năng SELinux đã được tắt rồi. Còn nếu mà chưa tắt thì có 2 cách như sau để tắt (disable) SELinux.
3.1. Tắt SELinux tạm thời
– Bạn sẽ chỉ tắt SELinux tạm thời trong thời gian hệ thống còn đang chạy. Nếu mà hệ thống restart lại thì tính năng SELinux sẽ khôi phục lại trạng thái ban đầu trước khi tắt tạm thời.
– Để tắt SELinux tạm thời không cần khởi động lại ta làm như sau.
# echo 0 > /selinux/enforce
hoặc
# setenforce 0
– Để quay trở lại trạng thái kích hoạt SELinux.
# echo 1 > /selinux/enforce
hoặc
# setenforce 1
3.2. Tắt SELinux vĩnh viễn
– Vậy bây giờ bạn muốn tắt vĩnh viễn chức năng dịch vụ SELinux thì ta làm như sau. Ta sẽ chỉnh sửa lại file /etc/selinux/config , thay đổi giá trị cấu hình “SELINUX” sang “disabled“.
# vi /etc/selinux/config
# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - SELinux is fully disabled. SELINUX=disabled # SELINUXTYPE= type of policy in use. Possible values are: # targeted - Only targeted network daemons are protected. # strict - Full SELinux protection. SELINUXTYPE=targeted
Lưu ý:
Có 2 cấu hình tắt SELinux.
– permissive : chuyển chế độ SELinux kernel sang chế độ cho phép mọi hoạt động truy cập thực thi từ tiến trình và file trên hệ thống được thông qua (mang tính tạm thời) .
– disabled : SELinux sẽ chuyển cơ chế tắt hoàn toàn tính năng quản lý truy cập của SELinux trong kernel.
– Sau khi bạn edit xong, lưu lại thì bạn cần reboot lại hệ thống để áp dụng cấu hình SELinux mới.
# reboot
– Sau đó bạn có thể kiểm tra lại trạng thái bằng lệnh “sestatus“.
# sestatus
Như vậy bạn đã biết cách để tắt SELinux trên CentOS rồi phải không nào. Nếu có gì thắc mắc đừng ngại comment ngay bên dưới bài viết để cùng trao đổi với “Cuongquach.com” nhé.
