Отключить SElinux в CentOS

Отключить SElinux в CentOS

Отключить SELinux в CentOS

Нельзя просто так взять и отключить SElinux.

Потому что это система принудительного контроля доступа, реализованная на уровне ядра. Дання система появилась только CentOS 4, а в следующих версиях реализация была существенно дополнена и улучшена. Благодаря оптимизациям и улучшениям SELinux удалость стать универсальной системой, способной эффективно решать массу актуальных задач. При этом стоит понимать, что классическая система прав Unix применяется первой, и управление перейдет к SELinux только в том случае, если эта первичная проверка будет успешно пройдена.

Практическая ценность SElinux заключается в том, что бывают ситуации, когда стандарная система контроля доступа недостаточна. Если SElinux отключен, то вам доступна только классическая дискреционная система контроля доступа, которая включает в себя DAC (избирательное управление доступом) или ACL(списки контроля доступа). То есть речь идет о манипулировании правами на запись, чтение и исполнение на уровне пользователей и групп пользователей, чего в некоторых случаях может быть совершенно недостаточно.

Принцип работы SElinux:

Принцип работы SElinux

SELinux следует модели минимально необходимых привилегий для каждого сервиса, пользователя и программы намного более строго. По умолчанию установлен «запретительный режим», когда каждый элемент системы имеет только те права, которые жизненно необходимы ему для функционирования. Эта информация будет записана в журнале операций.

Поэтому я не рекомендую отключать данную систему. Тем не менее в некоторых случаях (для экономии времени) в некритических сервисах можно выполнить следующее для проверки состояния работы сервиса:

sestatus

У данной системы имеется несколько режимов работы:

Enforcing: Режим по-умолчанию. При выборе этого режима все действия, которые каким-то образом нарушают текущую политику безопасности, будут блокироваться, а попытка нарушения будет зафиксирована в журнале.

Permissive: В случае использования этого режима, информация о всех действиях, которые нарушают текущую политику безопасности, будут зафиксированы в журнале, но сами действия не будут заблокированы.

Disabled: Полное отключение системы принудительного контроля доступа.

При этом по умолчанию установлен режим Enforcing. Это довольно жесткий режим, и в случае необходимости он может быть изменен на более удобный для конечного пользователя.

Отключить данную систему можно отредактировав файл /etc/selinux/config , установив параметр disabled.