سلام
امروز می خواهیم در مورد SELinux و نحوه غیر فعال سازی آن صحبت کنیم اما اولین سوالی که پیش میاد این است که
SELinux چیست ؟ SELinux در واقع مجموعه یکسری محدودیت های امنیتی است که بر روی ابزاری های معمول و متداول امنیتی لینوکس قرار می گیرد. SELinux به مدیر سرور مجوز کنترل بیشتری از آنچه کرنل بصورت پیش فرض فراهم می کند خواهد داد.
اما SELINUX یا همان Security Enhanced Linux بعضا مشکلاتی نیز ایجاد می کند. برای مثال یک سرویس متداول مثل آپاچی ممکن است با این حال که فعال است و به نظر بدون مشکل است قابل دسترسی نباشد.
در ادامه به نحوه تست و غیر فعال سازی SELinux می پردازیم.
تست فعال بودن SELinux :
برای تست فعال بودن SELinux می توانید از دستور زیر استفاده کنید:
غیر فعال سازی SELinux بصورت موقتی :
غیر فعال سازی SELinux بصورت موقتی بهترین راه برای آزمون می باشد تا متوجه شویم مشکلی که با آن مواجه هستیم از تنظیمات SELinux می باشد یا خیر لذا برای غیر فعال سازی موقتی SELinux از دستور زیر استفاده کنید:
پس از اجرای دستور فوق ، SELinux مادامی که سیستم ریبوت نشده یا SELinux مجددا توسط شما فعال نشده است، غیر فعال می ماند.
برای فعال سازی مجددا SELinux می توانید از دستور زیر استفاده کنید:
شما می توانید با بررسی مقدار فایل /selinux/enforce با استفاده از دستور زیر وضعیت فعال یا غیر فعال بودن موقت SELinux را بررسی کنید:
همانطور که مشخص است مقدار 0 بیانگر غیر فعال بودن و مقدار 1 بیانگر فعال بودن SELinux می باشد.
تنظیم SELinux برای اعلام هشدار به جای مسدود کردن فعالیت :
شما می توانید تنظیمات SELinx را به نحوی تغییر دهید تا به جای بلاک و مسدود کردن فعالیت ها تنها به شما هشدار دهد برای اینکار کافی است تا مد SELinux را به permissive تغییر دهید. برای اینکار نیاز است تا فایل تنظیمات SELinux را ویرایش کنید مسیر این فایل برای توزیع های لینوکس مبتی بر RHEL یا همان Red Hat Enterpise Linux در /etc/selinux/config واقع می باشد. برای تغییر مد به permissive باید مقدار ویرایش شده شما بصورت زیر باشد:
دقت کنید برای اعمال تغییرات مد ، نیاز است تا حتما سیستم ریبوت شود.
غیر فعال سازی SELinux بصورت دائمی :
برای غیر فعال سازی SELinx بصورت دائمی ، فایل تنظیمات آن ( در قسمت قبلی به مسیر و نحوه دستیابی به این فایل اشاره شد ) را بصورت ویرایش کنید تا مقدار زیر نمایان شود:
دقت کنید برای اعمال تغییرات مد ، نیاز است تا حتما سیستم ریبوت شود.
امروز می خواهیم در مورد SELinux و نحوه غیر فعال سازی آن صحبت کنیم اما اولین سوالی که پیش میاد این است که
SELinux چیست ؟ SELinux در واقع مجموعه یکسری محدودیت های امنیتی است که بر روی ابزاری های معمول و متداول امنیتی لینوکس قرار می گیرد. SELinux به مدیر سرور مجوز کنترل بیشتری از آنچه کرنل بصورت پیش فرض فراهم می کند خواهد داد.
اما SELINUX یا همان Security Enhanced Linux بعضا مشکلاتی نیز ایجاد می کند. برای مثال یک سرویس متداول مثل آپاچی ممکن است با این حال که فعال است و به نظر بدون مشکل است قابل دسترسی نباشد.
در ادامه به نحوه تست و غیر فعال سازی SELinux می پردازیم.
تست فعال بودن SELinux :
برای تست فعال بودن SELinux می توانید از دستور زیر استفاده کنید:
کد:
selinuxenabled && echo enabled || echo disabled
غیر فعال سازی SELinux بصورت موقتی :
غیر فعال سازی SELinux بصورت موقتی بهترین راه برای آزمون می باشد تا متوجه شویم مشکلی که با آن مواجه هستیم از تنظیمات SELinux می باشد یا خیر لذا برای غیر فعال سازی موقتی SELinux از دستور زیر استفاده کنید:
کد:
echo 0 > /selinux/enforce
برای فعال سازی مجددا SELinux می توانید از دستور زیر استفاده کنید:
کد:
echo 1 > /selinux/enforce
کد:
cat /selinux/enforce
تنظیم SELinux برای اعلام هشدار به جای مسدود کردن فعالیت :
شما می توانید تنظیمات SELinx را به نحوی تغییر دهید تا به جای بلاک و مسدود کردن فعالیت ها تنها به شما هشدار دهد برای اینکار کافی است تا مد SELinux را به permissive تغییر دهید. برای اینکار نیاز است تا فایل تنظیمات SELinux را ویرایش کنید مسیر این فایل برای توزیع های لینوکس مبتی بر RHEL یا همان Red Hat Enterpise Linux در /etc/selinux/config واقع می باشد. برای تغییر مد به permissive باید مقدار ویرایش شده شما بصورت زیر باشد:
کد:
SELINUX=permissive
غیر فعال سازی SELinux بصورت دائمی :
برای غیر فعال سازی SELinx بصورت دائمی ، فایل تنظیمات آن ( در قسمت قبلی به مسیر و نحوه دستیابی به این فایل اشاره شد ) را بصورت ویرایش کنید تا مقدار زیر نمایان شود:
کد:
SELINUX=disabled