SELINUX bổ sung một lớp bảo mật bổ sung cho hệ thống bằng cách cho phép quản trị viên và người dùng kiểm soát quyền truy cập vào các đối tượng dựa trên các quy tắc chính sách.

Các quy tắc chính sách của SELINUX chỉ định cách các quy trình và người dùng tương tác với nhau cũng như cách các quy trình và người dùng tương tác với các tệp. Khi không có quy tắc rõ ràng nào cho phép truy cập vào một đối tượng, chẳng hạn như đối với quá trình mở tệp, quyền truy cập bị từ chối.

SELINUX có 3 chế độ hoạt động:

- Enforcing: SELINUX cho phép truy cập dựa trên các quy tắc chính sách của SELINUX

- Permissive: SELINUX chỉ ghi lại các hành động đã bị từ chối nếu chạy ở chế độ thực thi. Chế độ này rất hữu ích để gỡ lỗi và tạo các quy tắc chính sách mới.

- Disabled: Không có chính sách SELINUX nào được tải và không có thông báo nào được ghi lại.

Theo mặc định, trong CentOS 8, SELINUX được bật và ở chế độ Permissive. Mình khuyên bạn nên giữ SELINUX ở chế độ này. Tuy nhiên, đôi khi nó có thể cản trở hoạt động của một số ứng dụng và bạn cần chuyển nó sang chế độ Enforcing hoặc Disabled.

Trong hướng dẫn này, mình sẽ chỉ cho các bạn cách tắt SELINUX trên CentOS 8.

Điều kiện tiên quyết

Chỉ người dùng root hoặc người dùng có đặc quyền sudo mới có thể thay đổi chế độ SELINUX.

Kiểm tra chế độ SELINUX

Sử dụng lệnh sestatus để kiểm tra trạng thái và chế độ SELINUX đang chạy:

Kết quả chạy ở trên cho thấy SELINUX đã được bật và được đặt ở chế độ Enforcing.

Thay đổi chế độ SELINUX thành Permissive

Khi được bật, SELINUX có thể ở chế độ Permissive hoặc chế độ Enforcing. Bạn có thể tạm thời thay đổi chế độ bằng lệnh sau:

sudo setenforce 0

Tuy nhiên, thay đổi này chỉ hợp lệ cho phiên thời gian chạy hiện tại và không tồn tại giữa các lần khởi động lại.

Để đặt vĩnh viễn chế độ SELINUX thành permissive, hãy làm theo các bước bên dưới:

1. chạy lệnh vi /etc/selinux/config và đặt SELINUX thành permissive:

2. Lưu tệp và chạy setenforce 0 lệnh để thay đổi chế độ SELINUX cho phiên hiện tại:

sudo shutdown -r now

Tắt SELINUX

Thay vì tắt SELINUX, bạn nên thay đổi chế độ thành permissive. Chỉ tắt SELINUX khi cần thiết để ứng dụng của bạn hoạt động bình thường.

Thực hiện các bước bên dưới để tắt vĩnh viễn SELINUX trên hệ thống CentOS 8 của bạn:

1. Mở vi /etc/selinux/config và thay đổi SELINUX giá trị thành disabled

2. Lưu tệp và khởi động lại hệ thống

sudo shutdown -r now

3. Khi hệ thống được khởi động, hãy sử dụng lệnh sestatus để xác minh rằng SELINUX đã bị vô hiệu hóa chưa:

sestatus

Kết quả sẽ như thế này:

LỜI KẾT

SELINUX là một cơ chế để bảo mật hệ thống bằng cách thực hiện kiểm soát truy cập bắt buộc. SELINUX được bật theo mặc định trên hệ thống CentOS 8, nhưng nó có thể bị tắt bằng cách chỉnh sửa tệp cấu hình và khởi động lại hệ thống.