SELinux là gì? Cách vô hiệu hóa SELinux trên CentOS

Trong các bản hệ điều hành CentOS mới đây (Version 7.x), SElinux mặc định là “on” nhằm nâng cao tính bảo mật của hệ điều hành Linux. Tuy nhiên với những người mới làm quen với Linux hoặc những người mới sử dụng VPS chạy Linux thì quả là phiền phức. Sau đây ITC TODAY xin chia sẻ vài thông tin liên quan tới SElinux là gì và cách vô hiệu hóa SELinux trên CentOS.

SElinux là gì ?

SELinux (Security-Enhanced Linux) được tạo bởi NSA. Những gì SELinux làm được là khóa điều khiển truy cập vào các ứng dụng. SELinux cũng có một vài điều gây khó chịu cho người sử dụng như việc gây chậm cho hệ thống hay khiến cho một vài ứng dụng trở nên khó cài đặt. Nhưng những tiện lợi về bảo mật khi sử dụng SELinux (hoặc Apparmor) vượt trội hơn so với những nhược điểm mà nó có. Bạn có thể kích hoạt SELinux trong quá trình cài đặt hệ điều hành Linux.

SElinux còn được nhúng vào hệ điều hành Android để các tài khoản thực hiện đúng chức năng và nhiệm vụ của mình, thay vì hacker có thể chiếm quyền kiểm soát của hệ thống từ một User. Đây là cách đơn giản nhất nhằm tăng tính bảo mật cho cả một hệ thống.

SELinux Modes

SELinux có 3 chế độ hoạt động cơ bản, trong đó Enforcing là chế độ mặc định khi cài đặt. Tuy nhiên, có một bộ định tính bổ sung của các mục tiêu hoặc các ml kiểm soát cách các quy tắc SELinux phổ biến được áp dụng, với mục tiêu là mức độ ít nghiêm ngặt hơn.

• Enforcing: Chế độ mặc định sẽ cho phép và thực thi chính sách bảo mật SELinux trên hệ thống, từ chối các hành động truy cập và ghi nhật ký
• Permissive: Trong chế độ Permissive, SELinux được kích hoạt nhưng sẽ không thực thi chính sách bảo mật, chỉ cảnh báo và ghi lại các hành động. Chế độ Permissive hữu ích cho việc khắc phục sự cố SELinux
• Disabled: SELinux bị vô hiệu hóa hoặc bị tắt đi.

Cách vô hiệu hóa SELinux trên CentOS

Trường hợp nào cần vô hiệu hóa SELinux

• Việc bảo mật trên Linux là rất cần thiết, tuy nhiên có những trường hợp nó lại gây ra sự phiền phức khi bạn muốn cài một phần mềm mà phần mềm đó lại cần can thiệp sâu vào hệ thống Linux.

Vô hiệu hóa SELinux tạm thời

• Việc vô hiệu hóa SELinux tạm thời sẽ có tác dụng cho đến khi bạn restart lại hệ thống. Để vô hiệu hóa tạm thời các bạn sử dụng command sau:

# echo 0 > /selinux/enforce
Hoặc
# setenforce 0

• Để quay trở lại trạng thái chưa bị vô hiệu hóa, các bạn sử dụng command sau:

# echo 1 > /selinux/enforce
Hoặc
# setenforce 1

Vô hiệu hóa SELinux vĩnh viễn

• Để vô hiệu hóa SELinux ta sửa file sau

# vi /etc/selinux/config

Thay đổi giá trị SELINUX=disabled

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing – SELinux security policy is enforced.
# permissive – SELinux prints warnings instead of enforcing.
# disabled – No SELinux policy is loaded.
#SELINUX=enforcing
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted – Targeted processes are protected,
# minimum – Modification of targeted policy. Only selected processes are protected.
# mls – Multi Level Security protection.
SELINUXTYPE=targeted

Sau đó restart lại để hệ thống nhận config mới

Kiểm tra trạng thái của SELinux

Để xác nhận SELinux đã bị vô hiệu hóa ta thực hiện command sau: sestatus

Nếu trạng thái SELinux là disabled thì bạn đã vô hiệu hóa thành công SELinux rồi.

Cho phép gửi email trên hệ thống

Cho phép Apache hoặc PHP gửi email từ hệ thống ra ngoài, các bạn cần phải cho phép chúng trong SElinux nhé:

setsebool -P httpd_can_sendmail 1