Good to Know Database

SELinux: SELinux-Betriebsmodus ändern


SELinux (Security Enhanced Linux) kann im Permissive oder im Enforcing Modus betrieben werden. Bei CentOS 5 ist standardmäßig der Enforcing Modus aktiviert. Im Enforcing Modus wertet SELinux die Policy aus und erzwingt die Einhaltung der Policy während im Permissive Modus Verletzungen der Policy nur protokolliert und nicht verhindert werden.

Den aktuellen Betriebsmodus von SELinux können Sie mit dem Befehl getenforce auslesen.

[root@centos5 ~]# getenforce
Enforcing

Etwas mehr Details erhalten Sie mit dem Befehl sestatus.

[root@centos5 ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 21
Policy from config file:        targeted

Den Betriebsmodus können Sie mit dem Befehl setenforce temporär ändern. Dieser Befehl kennt die Optionen 0 beziehungsweise Permissive zum Aktivieren des Permissive Modus und die Optionen 1 beziehungsweise Enforcing für den Enforcing Modus. Mit dem folgenden Befehl bringen Sie zum Beispiel SELinux in den Permissive Modus.

[root@centos5 ~]# setenforce 0

Überprüfen Sie anschließend mit sestatus den aktuellen Betriebsmodus.

[root@centos5 ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          enforcing
Policy version:                 21
Policy from config file:        targeted

Wenn Sie den Betriebsmodus dauerhaft ändern wollen, müssen Sie die Konfigurationsdatei /etc/selinux/config entsprechend anpassen. Dazu öffnen Sie die Konfigurationsdatei mit einem Editor.

[root@centos5 ~]# vi /etc/selinux/config

Ändern Sie hier in der folgenden Zeile den Wert der Option SELINUX in permissive oder enforcing.

SELINUX=enforcing

Nach einem Neustart des Systems sieht die Ausgabe von sestatus wie folgt aus.

[root@centos5 ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          permissive
Policy version:                 21
Policy from config file:        targeted

Alternativ zur Konfigurationsdatei /etc/selinux/config können Sie auch beim Booten des Systems angeben in welchem Modi SELinux arbeiten soll. Hierzu fügen Sie am Ende der Kernelzeile den Kernelparameter enforcing an. Der Wert 0 aktiviert den Permissive Modus und der Wert 1 den Enforcing Modus.

enforcing=0

Dauerhaft können Sie dies in der Konfigurationsdatei /boot/grub/menu.lst eintragen.

title CentOS (2.6.18-128.1.10.el5)
        root (hd0,0)
        kernel /boot/vmlinuz-2.6.18-128.1.10.el5 ro root=LABEL=/ enforcing=0
        initrd /boot/initrd-2.6.18-128.1.10.el5.img


Dieser Eintrag wurde am 12.06.2009 erstellt und zuletzt am 08.01.2014 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_33_641.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer