Qué es SELinux? ¿Por qué es posible que desee desactivarlo?

Qué tal soy Ana. Os traigo un nuevo post sobre el sistema operativo mas molón. Encantado linuxeros.

Si ya conoce SELinux y sueldo completamente consciente de los riesgos que podría tener en desactivarlo, puede hacer lo siguiente hacerlo.

  • Abra el archivo de configuración / Etc / selinux / config o su vínculo simbólico / Etc / sysconfig / selinux.
  • Cambie la línea de SELINUX = aplicación a SELINUX = desactivado
  • Reinicie el sistema o úselo setenforce 0 para invocar el cambio inmediatamente.

Lea este artículo para obtener información más detallada sobre qué es SELinux, como desactivar SELinux y por qué no siempre es una buena idea desactivar SELinux.

Qué es SELinux?

SELinux significa seguridad mejorada de Linux. Se trata de un mecanismo de etiquetado para proporcionar una seguridad elevada a los ficheros y otros objetos del sistema procedentes de procesos no autorizados y también de procesos autorizados que no tengan o necesiten este acceso para evitar un mal uso.

Se puede instalar SELinux en cualquier sistema Linux existente. Este uso no será útil para todos los usuarios, sino esencial para los sistemas de servidor.

Su rigidez de seguridad se puede entender por el hecho de que con SELinux, el proceso propiedad de root, incluso si el pirata informático no puede acceder a los archivos a los que no se les da acceso.

Cómo funciona SELinux?

SELinux aplica la política de acceso que seguirá el núcleo siempre que un proceso necesite acceder al archivo o al objeto. Según la política, cada archivo o proceso se le asigna una etiqueta. Por lo tanto, cuando un proceso con una etiqueta a: a: a necesita acceder al archivo (con la etiqueta b: b: b) ambos deberían coincidir (excepto para la configuración MLS en que se seguirá la jerarquía según la política ).

Más información sobre el etiquetado a aquí y aquí.

Tenga en cuenta que la desactivación de SELinux en un servidor conlleva muchas amenazas al sistema. Asegúrese de que no haga eso ni por comodidad ni por contenido especulado en artículos, sino por un motivo válido.

Inconvenientes de la desactivación de SE Linux

En desactivar SELinux, cada proceso tendrá acceso a archivos como en un sistema Linux normal. No se puede evitar el mal uso de derechos. Un proceso pirateado puede acceder a archivos secretos que no son necesarios para su propósito original y que se pueden utilizar mal. Este es un problema grave.

Si se compromete un proceso con permiso de raíz, todo el sistema está en peligro. Lo que proporciona SELinux es una seguridad más rígida. Aprender mas sobre riesgos aquí.

¿Por qué desea desactivar SELinux si se trata de una función de seguridad?

Porque a menudo las funciones de seguridad extremas son un dolor. Lo mismo ocurre con SELinux.

Al ser demasiado estricto sobre qué archivos son accesibles según qué proceso, tendrá dificultades para diversos servicios funcionen correctamente en su servidor.

Por ejemplo, si los archivos de / var / lib son propiedad de root y con permisos de archivo 000, el programa que requiere estos archivos no se ejecutará.

Además, cuando está depurando una aplicación, SELinux se convierte en un problema. Si la desactiva, le ahorra dolor de cabeza.

Consejo: utilice el modo permisivo con SELinux

Una práctica relativamente mejor es poner SELinux en modo permisivo antes de desplegar la aplicación o depurar el problema y volver a activar después.

El modo permisivo funciona como si SELinux estuviera inhabilitado, pero al mismo tiempo se registrará como si SELinux estuviera habilitado.

De este modo, podrá saber por los registros / var / log / messages qué pasaría con su aplicación si SELinux estuviera habilitado. Compruebe si hay mensajes de denegación.

Tenga en cuenta que su sistema no está protegido con políticas SELinux en modo permisivo.

Desactive SELinux a CentOS y otras distribuciones de Linux

Puede desactivar SELinux siguiendo los pasos siguientes. Aunque estas órdenes se prueban a CentOS, Debería funcionar perfectamente a Fedora y Red Hat Linux.

Creo que los mismos pasos también se aplicarán a otras distribuciones de Linux. Si no, háganoslo saber en la sección de comentarios.

Primero, compruebe el estado de SELinux mediante sestatus mando.

SELinux status: enabled
SELinuxfs mount: /sys/fs/selinux
SELinux root directory: /etc/selinux
Loaded policy name: targeted
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31

Si SELinux está habilitado y está en modo de aplicación, puede desactivarlo siguiendo estos pasos.

Paso 1: Abra el archivo de configuración / Etc / selinux / config o su vínculo simbólico / Etc / sysconfig / selinux

Paso 2: Cambie la línea de SELINUX=enforcing a SELINUX=disabled.

Paso 3: Reinicie el sistema o úselo setenforce 0 para cambiar el modo SELinux para la sesión actual y el cambio estará activo en reiniciar.

Nota: Para poner SELinux en modo permisivo, cambie el archivo de configuración para tener SELINUX = permisivo

Cómo volver a habilitar SELinux?

Como se ha mencionado anteriormente, es posible que desee volver a activar SELinux tras depurar el problema o desplegar la aplicación. De hecho, desactivar temporalmente SELinux es quizás la mejor idea.

Puede volver a habilitar SELinux invirtiendo los cambios realizados anteriormente.

Paso 1: Abra de nuevo el fichero / etc / selinux / config o / etc / sysconfig / selinux.

Paso 2: Esta vez cambie la línea a SELINUX = aplicación

Paso 3: Al final, reinicie el sistema o utilice la orden setenforce 1 para hacer cumplir SELinux inmediatamente.

Espero haber aclarado algunas cosas sobre SELinux, tales como el modo permisivo contra el cumplimiento, la desactivación de SELinux, etc.

Si tiene preguntas o sugerencias para mejorar este artículo, háganoslo saber en la sección de comentarios siguiente. Comparte también tu idea sobre la desactivación de SELinux.

El Blog lo hacemos para ayudar y servir de referencia a la comunidad Linux. Esperamos que os guste.

Leave a Reply