Изменение режимов работы в SELinux

SELinux (Security Enhanced Linux) представляет собой продвинутый механизм управления доступом. Он разработан Агентством национальной безопасности США в целях предотвращения злонамеренных вторжений. Особенность механизма в том, что в дополнение к уже имеющейся в Linux дискреционной модели (Discretionary Access Control) SELinux реализует ещё и мандатную модель управления доступом (Mandatory Access control).

SELinux имеет 3 режима работы:
1. Enforcing — доступ ограничивается в соответствии с политикой. В этом случае запрещено всё, что в явном виде не разрешено. Enforcing является режимом по умолчанию.
2. Permissive — в этом режиме SELinux ведёт лог действий, которые нарушают политику. В режиме enforcing нарушающие политику действия были бы запрещены, здесь же сами действия разрешены.
3. Disabled — режим полного отключения SELinux.

Меняем режим в SELinux

По умолчанию существует конфигурационный файл, где мы можем менять режим работы — /etc/selinux/config.

Если вы хотите узнать текущий режим работы, выполните следующую команду:

$ getenforce

Тут следует отметить, что для работы с SELinux нужны root-привилегии, поэтому все приводимые команды даны для root-пользователя.

Вот, как можно изменить режим на permissive:

$ setenforce permissive

Если же интересует режим работы enforcing, используйте следующую команду:

$ setenforce enforcing

Иногда возникает необходимость полностью отключить SELinux. Сделать это можно лишь через файл конфигурации. Внести исправления можно любым текстовым редактором, например, Vi/Vim:

$ vi /etc/selinux/config

В редакторе нужно поменять параметр SELINUX на disabled:

SELINUX=disabled

После этого останется лишь перезагрузить операционную систему.

Как видите, переключение режимов в SELinux не составляет труда. В следующий раз поговорим о политиках Selinux, следите за новостями блога!