はじめに
SELinuxは、Linuxカーネルに組み込まれている強制アクセス制御(MAC)エンフォーサーです。脆弱性がシステムに脅威を与える可能性のある個々のサービスの特権を制限します。
SELinuxを使用しないCentOSシステムは、すべての特権ソフトウェアアプリケーションの構成に依存しています。単一の設定ミスは、システム全体を危険にさらす可能性があります。このガイドに従うことで、CentOS7でSELinuxを無効にする方法を学習します。 。
SELinuxを無効にする理由
すべてのアプリケーションがSELinuxをサポートしているわけではありません。したがって、SELinuxは、ソフトウェアパッケージの通常の使用およびインストール中に必要なプロセスを終了できます。そのような場合は、このサービスをオフにすることをお勧めします。
前提条件
- sudoを使用したユーザーアカウントへのアクセス 特権
- 端末/コマンドラインへのアクセス
- CentOS7などのRHELベースのシステム
- nanoやvimなどのテキストエディタ
CentOSでSELinuxを無効にする手順
ステップ1:SELinuxステータスを確認する
SELinuxサービスは、CentOSおよび他のほとんどのRHELベースのシステムでデフォルトで有効になっています。ただし、これはご使用のシステムには当てはまらない場合があります。
次のコマンドを使用して、システム上のSELinuxのステータスを確認することから始めます。
sestatus以下の出力例は、SELinuxが有効になっていることを示しています。ステータスは、サービスが実施中であることを示しています モード 。
SELinuxは、アプリケーションの正常な機能を妨げる可能性があります。次の場合、サービスはアクセスを拒否します:
- ファイルのラベルが間違っています。
- 互換性のないアプリケーションが禁止ファイルにアクセスしようとします。
- サービスが誤ったセキュリティポリシーで実行されています。
- 侵入が検出されました。
サービスが正しく実行されていないことに気付いた場合は、SELinuxログファイルを確認してください。ログは/var/log/audit/audit.logにあります 。最も一般的なログメッセージには「AVC」というラベルが付いています。ログが見つからない場合は、 / var / log / messagesを調べてみてください 。 auditd の場合、システムはそのファイルにログを書き込みます デーモンが実行されていません。
ステップ2:SELinuxを無効にする
オプション1:SELinuxを一時的に無効にする
SELinuxを一時的に無効にするには、ターミナルで次のコマンドを入力します。
sudo setenforce 0sudo setenforce 0 、許容を使用できます 0の代わりに。
このコマンドは、SELinuxモードをターゲットから変更します 許容 。
許容 モードの場合、サービスはアクティブであり、すべてのアクションを監査します。ただし、セキュリティポリシーは適用されません。システムログAVC メッセージ。
変更は、次の再起動までのみアクティブになります。 SELinuxを完全にオフにするには、記事の次のセクションを参照してください。
オプション2:SELinuxを完全に無効にする
サービスを永続的に無効にするには、テキストエディタ(vimやnanoなど)を使用して / etc / sysconfig / selinuxを編集します 以下の手順に従ってファイルを作成します。
1. / etc / sysconfig / selinuxを開きます ファイル。 vimを使用します 。テキストエディタに慣れていない場合は、ファイルvimを保存して終了する方法についての説明ガイドを参照してください。
次のコマンドを入力してファイルを開きます。
sudo vi /etc/sysconfig/selinux2. SELINUX =enforcingを変更します SELINUX=disabledへのディレクティブ。
3.編集したファイルを保存します。
CentOSを再起動して変更を保存する
変更を有効にするには、次のコマンドを使用してシステムを再起動する必要があります。
sudo shutdown -r now再起動後、サービスステータスをチェックしてSELinuxが無効になっていることを確認します。次のコマンドを使用します:
sestatusステータスは無効である必要があります 、上の画像に見られるように。システムはSELinuxポリシーをロードしたり、 AVCを書き込んだりしません。 ログ。