如何在 CentOS 8 上停用 SELinux？

---

簡介

SELinux，或安全增強型 Linux，是一種安全機制，內置於大多數現代 Linux 發行版中，包括 CentOS 8。SELinux 透過提供一組強制訪問控制策略來工作，這些策略限制對各種系統資源和檔案的訪問。此功能的目的是透過限制潛在攻擊的範圍來增強系統的整體安全性。

雖然 SELinux 是保護系統的一個有效工具，但某些使用者可能出於各種原因想要停用它。例如，某些應用程式可能無法與啟用的 SELinux 良好地配合使用，或者正確配置策略可能具有挑戰性。

在這種情況下，停用 SELinux 可能是必要的。本文旨在提供有關如何在 CentOS 8 上停用 SELinux 的分步說明。

我們還將討論有人可能想要停用它的某些常見原因，並提供其他停用方法。在以下部分中，我們將探討 SELinux 的作用及其工作原理，然後深入探討在 CentOS 8 系統上停用它所需的步驟。

SELinux 概述

SELinux 的力量：瞭解其在增強系統安全中的作用

SELinux，或安全增強型 Linux，是一個安全模組，內置於 CentOS 8 等現代 Linux 發行版中。它旨在透過實施強制訪問控制 (MAC) 策略來提供額外的安全層。與傳統的 檔案許可權不同，MAC 策略根據其標籤指定哪些程序可以訪問特定的系統資源。

SELinux 遵循最小許可權原則，這意味著系統上的每個程序和使用者都應該只有執行其工作所需的許可權，僅此而已。這種方法顯著降低了潛在攻擊和未經授權訪問帶來的風險水平。

SELinux 的工作原理

從根本上說，SELinux 使用核心級安全控制來監控和限制系統上執行的程序對資源的訪問。它透過使用稱為安全上下文的特定於上下文的元資料對系統資源（例如檔案、目錄、網路套接字等）進行標記來實現此目的。

SELinux 允許管理員或使用者使用這些安全上下文定義管理程序如何與某些資源互動的限制性策略。例如，管理員可以建立一個策略，只允許特定的使用者帳戶或程序訪問儲存在特定目錄中的敏感資料。

如果任何程序試圖透過在沒有適當授權的情況下訪問受限資源或嘗試執行未經授權的操作（例如修改關鍵設定或非法執行系統檔案）來違反這些策略，SELinux 會立即介入，並拒絕訪問或在具有有限許可權的受限環境中執行它。簡而言之，瞭解 SELinux 的工作原理對於任何尋求最佳化其系統執行完整性並使其免受潛在網路威脅的 Linux 管理員至關重要。

停用 SELinux 的原因

某些應用程式的相容性問題

眾所周知，SELinux 在安全策略方面非常嚴格，這可能導致某些未考慮 SELinux 的應用程式出現問題。在某些情況下，應用程式可能需要當前 SELinux 策略不允許的許可權。

結果，它可能無法正常執行甚至完全崩潰。對於未更新以與 SELinux 無縫協作的舊版或不太常用的軟體，此問題尤其常見。

配置策略的難度

有人想要停用 SELinux 的另一個原因是配置策略的難度。雖然 SELinux 為系統提供了高級別的安全性，但它也需要大量的專業知識和精力才能正確配置。

配置策略的過程涉及為各種系統元件和應用程式建立規則和例外，這可能既耗時又複雜。此外，即使對系統或已安裝軟體進行微小的更改也可能需要更新現有策略，從而使維護成為一項持續的挑戰。

安全與便利之間的權衡

在使用 SELinux 時，安全與便利之間存在權衡。雖然停用或修改 SELinux 策略可以使某些任務更容易或啟用與某些軟體的相容性，但它也使整個系統安全性降低。

SELinux 實施的嚴格安全策略旨在專門防止各種型別的攻擊和漏洞。停用這些保護措施會開啟可能危及系統資料完整性和機密性的潛在漏洞。

雖然在 CentOS 8 上停用 SELinux 肯定有充分的理由，但務必權衡這些理由以及所涉及的潛在風險。如果您確實選擇停用或修改 SELinux 策略設定，我們強烈建議您採取其他措施（例如實施其他安全措施）以最大程度地降低風險。

在 CentOS 8 上停用 SELinux 的步驟

在 CentOS 8 中停用 SELinux 是一個相對簡單的過程，但確實需要小心，以避免任何意外後果。請按照以下步驟停用 SELinux -

檢查 SELinux 的當前狀態

第一步是使用 getenforce 命令檢查 SELinux 的當前狀態。開啟您的終端並鍵入 getenforce。

輸出將顯示 SELinux 當前是處於強制模式還是寬容模式。如果輸出顯示“強制”，則需要按照以下步驟停用它。

編輯 /etc/selinux/config 檔案

下一步是使用 nano 或 vim 等文字編輯器編輯 /etc/selinux/config 檔案。此配置檔案確定 SELinux 如何在您的系統上執行。

在您的終端中鍵入 sudo nano /etc/selinux/config，並在提示時輸入您的密碼。找到顯示“SELINUX=enforcing”的行，並將其更改為“SELINUX=disabled”。

儲存並關閉檔案

要儲存並關閉此檔案，請按 Ctrl+X、Y、Enter。

重新啟動系統以使更改生效

必須重新啟動系統才能使在此檔案中進行的更改生效。鍵入 sudo reboot now，按 Enter 並等待系統重新啟動。

驗證 SELinux 是否已停用

要驗證您是否已成功在 CentOS 8 上停用 SElinux，請再次使用 getenforce。如果一切順利，您應該會看到它報告 SELINUX=disabled，這表明 SELinux 不再處於活動狀態。透過這些步驟，您應該能夠在 CentOS 8 上毫無問題地停用 SELinux。

但是，務必瞭解，如果停用 SELinux 未正確執行，可能會給您的系統帶來安全風險。因此，請確保您小心謹慎地進行必要的更改。

停用 SELinux 的替代方法

setenforce 命令

臨時停用 SELinux 的另一種方法是使用 setenforce 命令。此命令將 SELinux 的當前模式設定為強制模式或寬容模式，這允許所有操作但將其記錄為被拒絕。

要使用 setenforce 停用 SELinux，請以 root 身份執行以下命令 -

# setenforce 0     

這將立即將您的系統切換到寬容模式。但是，此更改在重新啟動後不會持久，並且將在重新啟動後恢復為強制模式。

使用寬容模式

寬容模式是另一種可以代替完全停用 SELinux 的替代方法。在此模式下，SELinux 僅記錄策略違規，而不實際執行它們。這在解決與策略違規相關的故障排除問題時很有用，而不會完全損害安全性。

要啟用寬容模式，請以 root 身份執行以下命令 -

# setenforce 0      

這會立即將您的系統切換到寬容模式，並在重新啟動後持久存在。

結論

雖然在管理 Linux 系統時安全性始終應是重中之重，但可能存在需要停用或修改 SELinux 等安全機制的情況。通過了解 SELinux 是什麼以及有人可能想要停用它的原因，您可以對是否將其用於您的特定用例做出明智的決定。並且有多種停用或修改其策略的方法可供選擇，您可以選擇最適合您需求的方法，同時仍然保持系統的整體安全性。