farid

مدیر کل انجمن
عضو کادر مدیریت
مدیر کل انجمن
عضویت
20/5/15
ارسال ها
452
امتیاز
10
وب سایت
faraso.org
سلام
امروز می خواهیم در مورد SELinux و نحوه غیر فعال سازی آن صحبت کنیم اما اولین سوالی که پیش میاد این است که
SELinux چیست ؟ SELinux در واقع مجموعه یکسری محدودیت های امنیتی است که بر روی ابزاری های معمول و متداول امنیتی لینوکس قرار می گیرد. SELinux به مدیر سرور مجوز کنترل بیشتری از آنچه کرنل بصورت پیش فرض فراهم می کند خواهد داد.
اما SELINUX یا همان Security Enhanced Linux بعضا مشکلاتی نیز ایجاد می کند. برای مثال یک سرویس متداول مثل آپاچی ممکن است با این حال که فعال است و به نظر بدون مشکل است قابل دسترسی نباشد.
در ادامه به نحوه تست و غیر فعال سازی SELinux می پردازیم.
تست فعال بودن SELinux :
برای تست فعال بودن SELinux می توانید از دستور زیر استفاده کنید:
کد:
selinuxenabled && echo enabled || echo disabled

غیر فعال سازی SELinux بصورت موقتی :
غیر فعال سازی SELinux بصورت موقتی بهترین راه برای آزمون می باشد تا متوجه شویم مشکلی که با آن مواجه هستیم از تنظیمات SELinux می باشد یا خیر لذا برای غیر فعال سازی موقتی SELinux از دستور زیر استفاده کنید:
کد:
echo 0 > /selinux/enforce
پس از اجرای دستور فوق ، SELinux مادامی که سیستم ریبوت نشده یا SELinux مجددا توسط شما فعال نشده است، غیر فعال می ماند.
برای فعال سازی مجددا SELinux می توانید از دستور زیر استفاده کنید:
کد:
echo 1 > /selinux/enforce
شما می توانید با بررسی مقدار فایل /selinux/enforce با استفاده از دستور زیر وضعیت فعال یا غیر فعال بودن موقت SELinux را بررسی کنید:
کد:
cat /selinux/enforce
همانطور که مشخص است مقدار 0 بیانگر غیر فعال بودن و مقدار 1 بیانگر فعال بودن SELinux می باشد.

تنظیم SELinux برای اعلام هشدار به جای مسدود کردن فعالیت :
شما می توانید تنظیمات SELinx را به نحوی تغییر دهید تا به جای بلاک و مسدود کردن فعالیت ها تنها به شما هشدار دهد برای اینکار کافی است تا مد SELinux را به permissive تغییر دهید. برای اینکار نیاز است تا فایل تنظیمات SELinux را ویرایش کنید مسیر این فایل برای توزیع های لینوکس مبتی بر RHEL یا همان Red Hat Enterpise Linux در /etc/selinux/config واقع می باشد. برای تغییر مد به permissive باید مقدار ویرایش شده شما بصورت زیر باشد:
کد:
SELINUX=permissive
دقت کنید برای اعمال تغییرات مد ، نیاز است تا حتما سیستم ریبوت شود.

غیر فعال سازی SELinux بصورت دائمی :
برای غیر فعال سازی SELinx بصورت دائمی ، فایل تنظیمات آن ( در قسمت قبلی به مسیر و نحوه دستیابی به این فایل اشاره شد ) را بصورت ویرایش کنید تا مقدار زیر نمایان شود:
کد:
SELINUX=disabled
دقت کنید برای اعمال تغییرات مد ، نیاز است تا حتما سیستم ریبوت شود.
 
بالا