中文 (中国)
English
SELinux, viết tắt của Security Enhanced Linux, là một lớp bảo mật bổ sung được tích hợp cho hệ thống Linux. Phiên bản ban đầu của SELinux được phát triển bởi NSA. Các cộng tác viên chủ chốt khác bao gồm Red Hat, đã kích hoạt SELinux theo mặc định trên RHEL và các bản phân phối Linux dẫn xuất của nó, bao gồm cả CentOS 7.
Mặc dù SELinux có thể bảo vệ hệ thống của chúng ta thông qua việc kiểm soát quyền truy cập đối với các chương trình và dịch vụ hệ thống, nhưng không phải lúc nào cũng cần thiết để bật SELinux. Một số người dùng thậm chí có thể nhận thấy nó can thiệp vào một số chương trình mà họ cài đặt. Trong bài hướng dẫn này, chúng ta sẽ đi qua các bước chi tiết để vô hiệu hóa SELinux trên CentOS 7 Linux.
Trong bài hướng dẫn này, bạn sẽ học được:
● Cách kiểm tra trạng thái của SELinux
● Cách chuyển SELinux sang chế độ permissive
● Cách vô hiệu hóa SELinux trên CentOS 7
| Danh mục | Yêu cầu / Phiên bản Phần mềm |
|---|---|
| Hệ thống | CentOS 7 |
| Phần mềm | SELinux |
| Khác | Quyền truy cập cao (privileged access) vào hệ thống Linux của bạn dưới quyền root hoặc thông qua lệnh sudo |
| Quy ước | # – yêu cầu thực thi lệnh Linux với quyền root, trực tiếp hoặc thông qua lệnh sudo |
$ – yêu cầu thực thi lệnh Linux với tư cách người dùng thông thường (không có quyền root) |
Cách Kiểm Tra Trạng Thái Của SELinux
Bạn có thể kiểm tra trạng thái hiện tại của SELinux bất cứ lúc nào bằng cách thực thi lệnh sau:
$ sestatus
Một cách nhanh hơn để kiểm tra trạng thái là sử dụng lệnh getenforce, lệnh này chỉ xuất ra chế độ hiện tại của SELinux và không có thông tin phụ:
SELinux có ba chế độ khả dĩ mà bạn có thể thấy khi chạy lệnh trên:
● Enforcing – SELinux đang hoạt động và thực thi các quy tắc chính sách của nó.
● Permissive – SELinux cho phép mọi thứ, nhưng ghi lại các sự kiện mà bình thường sẽ bị từ chối ở chế độ enforcing.
● Disabled – SELinux không thực thi các quy tắc cũng như không ghi lại bất cứ điều gì.
Hướng Dẫn Vô Hiệu Hóa SELinux Trên CentOS 7 Từng Bước
Tùy theo nhu cầu của bạn, việc vô hiệu hóa SELinux có thể bao gồm chuyển nó sang chế độ permissive hoặc vô hiệu hóa hoàn toàn.
1. Chuyển SELinux Sang Chế Độ Permissive
Việc đặt SELinux ở chế độ permissive sẽ vô hiệu hóa tất cả các chức năng của SELinux ngoại trừ việc ghi lại thông báo. Bạn không cần khởi động lại hệ thống để thay đổi có hiệu lực, chỉ cần thực hiện lệnh sau:
Bạn có thể xác nhận sự thay đổi bằng cách kiểm tra lại chế độ của SELinux, sử dụng lệnh sestatus hoặc getenforce.
2. Vô Hiệu Hóa SELinux Hoàn Toàn
Khi bạn khởi động lại hệ thống, SELinux sẽ quay lại chế độ enforcing. Nếu bạn muốn thay đổi này có hiệu lực vĩnh viễn, hãy làm theo các bước sau:
-
Sử dụng nano hoặc trình soạn thảo văn bản yêu thích của bạn để mở file cấu hình của SELinux nằm ở /etc/selinux/config. Việc này cần được thực hiện với tài khoản root hoặc thông qua lệnh sudo:
-
Thay đổi dòng có nội dung SELINUX=enforcing thành SELINUX=permissive hoặc SELINUX=disabled, tùy thuộc vào cài đặt bạn mong muốn. Sau đó, lưu file lại và thoát ra.
Ví dụ:
-
Sau khi khởi động lại hệ thống, SELinux sẽ bị vô hiệu hóa hoàn toàn. Để có kết quả ngay lập tức mà không cần khởi động lại ngay lúc đó, bạn có thể chạy lệnh setenforce 0 như đã nêu ở trên, và sau đó khởi động lại hệ thống khi có thể:
Sau khi khởi động lại, SELinux đã được vô hiệu hóa hoàn toàn trên CentOS 7.
Kết Luận
Trong bài hướng dẫn này, chúng ta đã tìm hiểu cách vô hiệu hóa SELinux trên hệ thống Linux CentOS 7, bao gồm việc chuyển sang chế độ permissive và vô hiệu hóa hoàn toàn SELinux. SELinux là một tính năng hữu ích chỉ nên bị vô hiệu hóa khi đã cân nhắc kỹ lưỡng hoặc trong môi trường thử nghiệm.
Proxmox là gì? Hiểu rõ về Proxmox VE trong 5′ phút
