Trong hướng dẫn này, chúng tôi sẽ giới thiệu các cấp độ bảo mật khác nhau trong SELinux, cũng như chỉ cho bạn cách vô hiệu hóa SELinux trên VPS CentOS 7 .
SELinux hoặc Security-Enhanced Linux là một mô-đun bảo mật nhân Linux, cung cấp nhiều chính sách bảo mật khác nhau và giúp quản trị viên máy chủ kiểm soát tốt hơn quyền truy cập vào các phần khác nhau trong hệ thống của họ. Về cơ bản, với tính năng SELinux được bật, mọi chương trình hoặc hành động chạy trên VPS Linux có thể ảnh hưởng đến hệ thống theo bất kỳ cách nào sẽ được kiểm tra theo quy tắc bảo mật. Mặc dù nó cung cấp mức độ bảo mật cao hơn, nhiều quản trị viên hệ thống cảm thấy khó khăn trong việc quản lý và khắc phục sự cố. Vì lý do này, thông thường các quản trị viên muốn vô hiệu hóa nó. Hãy bắt đầu với việc vô hiệu hóa SELinux.
SELinux cung cấp ba cấp độ bảo mật:
- Thực thi: Trong chế độ thực thi, SELinux cho phép truy cập dựa trên các quy tắc chính sách được xác định.
- Cho phép: Trong chế độ cho phép, SELinux sẽ ghi lại tất cả các hành động đã bị chặn trong trường hợp nó đang chạy trong chế độ thực thi.
- Vô hiệu hóa: Trong chế độ cho phép, không có quy tắc chính sách nào của Selinux được tải.
Cách kiểm tra trạng thái SELinux
Bây giờ, kết nối với máy chủ Linux của bạn thông qua SSH và đăng nhập bằng root hoặc với tư cách là người dùng có quyền sudo. Khi bạn đăng nhập vào máy chủ của mình, bạn nên kiểm tra chế độ hiện tại của SELinux. Bạn có thể làm điều này bằng cách chạy lệnh sau trong thiết bị đầu cuối:
sestatus
Đầu ra của lệnh nếu SELinux được bật sẽ tương tự như bên dưới:
# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28
Nếu trạng thái SELinux hiển thị rằng đó là enabled
thì bạn có thể làm theo các bước dưới đây để vô hiệu hóa nó.
Cách vô hiệu hóa SELinux trong CentOS 7
Vô hiệu hóa SELinux trên CentOS 7 là nhiệm vụ khá dễ dàng. Bạn có thể làm điều đó với một lệnh:
echo 0 > /selinux/enforce
Để thay thế, bạn có thể sử dụng lệnh sau:
setenforce 0
Bây giờ, hãy kiểm tra lại trạng thái và chắc chắn rằng nó đã bị vô hiệu hóa.
Xin lưu ý, điều này sẽ chỉ vô hiệu hóa Selinux tạm thời. Nếu bạn muốn tắt nó vĩnh viễn, bạn sẽ cần thực hiện các bước sau:
Mở /etc/sysconfig/selinux
tệp để chỉnh sửa với trình soạn thảo văn bản bạn chọn. Chúng tôi sẽ sử dụng nano
trong ví dụ dưới đây.
nano / etc / sysconfig / selinux
Khi bạn mở tệp, thay đổi dòng sau:
SELINUX=enforcing
đến
SELINUX=disabled
Sau đó lưu và đóng tệp. Khi bạn thực hiện thay đổi này, hãy xác minh rằng nội dung của tệp trông giống như bên dưới:
# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
Kiểm tra lại trạng thái bằng lệnh sau:
sestatus
và đảm bảo đầu ra trông giống như bên dưới:
# sestatus SELinux status: disabled
Nếu đầu ra vẫn cho thấy SELinux được bật, bạn có thể cần phải khởi động lại hệ thống để các thay đổi có hiệu lực. Để khởi động lại máy chủ, hãy chạy lệnh sau trong thiết bị đầu cuối của bạn:
shutdown -r now
Cách bật Chế độ cho phép trong SELinux trên CentOS 7
Thay vì vô hiệu hóa hoàn toàn SELinux, bạn có thể xem xét chuyển chế độ sang trạng thái cho phép. Khi ở chế độ cho phép, SELinux sẽ ghi lại bất kỳ hành động hoặc chương trình nào thực sự bị chặn khi được thiết lập ở chế độ thực thi. Điều này tốt cho việc khắc phục mọi sự cố có thể phát sinh khi bạn bật Selinux trên VPS CentOS 7 . Để bật chế độ cho phép trong SELinux, hãy chỉnh sửa /etc/sysconfig/selinux
tệp như được mô tả trong bước trên và thay đổi dòng sau:
SELINUX=enforcing
đến
SELINUX=permissive
Lưu các thay đổi và kiểm tra lại trạng thái SELinux.
Bạn nên bật SELinux trên máy chủ của mình trừ khi thực sự cần thiết phải tắt hoặc đặt ở chế độ cho phép, vì SELinux tăng cường bảo mật sâu sắc cho hệ thống của bạn. Xin lưu ý rằng đó không phải là một giải pháp bảo mật tất cả trong một mà bạn có thể dựa vào trong mọi tình huống. Nếu bạn muốn tìm hiểu thêm về SELinux và các tính năng bảo mật mà nó cung cấp, chúng tôi khuyên bạn nên đọc tài liệu của SELinux.
Tái bút Nếu bạn thích bài đăng này về cách vô hiệu hóa SELinux trên CentOS 7, vui lòng chia sẻ nó với bạn bè của bạn trên các mạng xã hội bằng các nút bên dưới hoặc chỉ cần để lại câu trả lời trong phần bình luận. Cảm ơn bạn.