Зміст
CentOS 7, заснований на відкритому ядрі Linux, має вбудовану систему безпеки під назвою SELinux (Security Enhanced Linux). Завдяки цьому інструменту забезпечується контроль елементів управління доступом. Адміністратор редагує присутні політики, тим самим налаштовуючи оптимальну конфігурацію утиліти. При відсутності права на дозвіл доступ буде заборонений &8212; така модель налаштувань стосується і інших параметрів. Зважаючи на сказане вище інструмент визначення взаємодії процесів і користувачів іноді слід відключати. Сьогодні ми хотіли б показати два доступних методу проведення цієї операції.
Відключаємо SELinux в CentOS
Розробники рекомендують завжди зберігати SELinux у робочому режимі &171;enforcing&187; &8212; примусове виконання правил. Якщо ж адміністратору потрібно змінити цей режим на &171;disabled&187; , зробити це можна в рамках однієї сесії або перманентно, внісши правки в конфігураційний файл. Для початку Перевірте поточний стан утиліти, щоб визначити, чи варто її відключати чи ні. Для цього зробіть всього одну команду:
- Запустіть &171;Термінал&187; будь-яким зручним методом, наприклад, через меню &171; Додатки&187; .
- Активуйте постійні права суперкористувача, прописавши
su -
. Після цього буде потрібно ввести пароль від рут-доступу. Написані таким чином символи ніколи не відображаються з метою безпеки. - Активуйте команду
sestatus
, вставивши її і натиснувши на клавішу Enter . - Знайдіть рядок &171;SELinux status&187; , що відображає поточний стан. Якщо воно не &171;disabled&187; , значить інструмент знаходиться в активному робочому стані.
Таким чином, за допомогою вбудованої команди можна швидко перевірити статус вбудованої системи безпеки. Далі радимо ознайомитися з двома методами відключення SELinux, які будуть максимально корисні в різних ситуаціях.
Спосіб 1: Відключення в поточній сесії
Зазвичай SELinux відключається з метою перевірки будь-яких параметрів ОС або виправлення помилок. Досить того, щоб утиліта була відключена протягом однієї термінальної сесії. Для цього не потрібно змінювати конфігураційний файл, скористайтеся командою sudo setenforce 0
, де
0
якраз і є значенням виключення.
Можете переконатися в тому, що захист була успішно відключена. Після запуску нового системного терміналу вона продовжить свою роботу в штатному режимі, тобто в тому, який заданий в файлі настройки. Не забувайте, що після кожного перезапуску ОС зазначену вище команду доведеться прописувати заново, щоб повторно деактивувати SELinux.
Спосіб 2: постійне відключення
Постійне вимкнення SELinux діятиме навіть після перезавантаження ОС, оскільки параметр встановлюється через файл конфігурації. Як ви могли вже зрозуміти, змінювати його доведеться вручну. Для цього радимо скористатися будь-яким зручним текстовим редактором.
- Сьогодні за приклад ми візьмемо редактор nano
. Встановлюється пакети цього додатка командою
sudo yum install nano
. - Для продовження інсталяції знадобиться ввести пароль від облікового запису суперкористувача.
- Після успішної установки запустіть файл налаштувань через цей редактор, ввівши
sudo nano /etc/selinux/config
. - Серед всіх рядків відшукайте &171;SELINUX=&187; .
- Після знака &171;=&187;
замініть вказаний там вираз на
disabled
. - Збережіть налаштування натисканням комбінації клавіш Ctrl + O .
- Не змінюйте ім'я файлу для запису, просто натисніть на Enter .
- Для виходу з редактора використовуйте Ctrl + X .
- Усі налаштування будуть збережені та активовані лише після перезавантаження ОС, тому вставте рядок у консоль
sudo shutdown -r now
.
Після виконання подібних дій система безпеки буде активна тільки після зміни її значення назад на &171;enabled&187;
,
&171;enforcing&187;
або
&171;permissive&187;
. В іншому випадку вона так і буде залишатися вимкненою завжди, при будь-яких діях з боку користувача або процесів. Хіба що можна на поточну сесію активувати SELinux через команду
sudo setenforce 1
.
Кожен користувач сам вибирає найбільш оптимальний метод відключення розглянутого сьогодні інструменту, оскільки вони розрізняються за принципом дії. В цілому в обох варіантах процедура здійснюється досить просто і не викличе складнощів навіть у недосвідчених користувачів.