Cómo deshabilitar SELinux temporal o permanentemente

En algunas de las distribuciones de Linux, SELinux está habilitado de forma predeterminada, lo que puede causar algunos problemas no deseados, si no comprendes cómo funciona SELinux y los detalles fundamentales sobre cómo configurarlo.

Te recomiendo que comprendas SELinux y lo implementes en tu entorno. Pero, hasta que comprendas los detalles de implementación de SELinux, puedes deshabilitarlo para evitar problemas innecesarios.

Cómo deshabilitar SELinux

Para deshabilitar SELinux , puedes usar cualquiera de los 4 métodos diferentes mencionados en este artículo.

SELinux aplicará políticas de seguridad, incluidos los controles de acceso obligatorios definidos por el Departamento de Defensa de los Estados Unidos, Utilizando el Módulo de seguridad de Linux (LSM) definido en el kernel de Linux.

Todos los archivos y procesos en el sistema serán identificados con etiquetas específicas que serán utilizadas por SELinux. Puedes usar ls -Z y ver esas etiquetas como se muestra a continuación.

Método 1: deshabilitar SELinux temporalmente

Para deshabilitar SELinux temporalmente, debes modificar el archivo /selinux/enforce como se muestra a continuación. Ten en cuenta que esta configuración desaparecerá después del reinicio del sistema.

También puedes usar el comando setenforce como se muestra a continuación para deshabilitar SELinux. Los parámetros posibles para los comandos setenforce son: Enforcing, Permissive, 1 (habilitar) o 0 (deshabilitar).

Método 2: deshabilitar SELinux permanentemente

Para deshabilitar el SELinux permanentemente, debes modificar /etc/selinux/config y configurar SELINUX = disabled como se muestra a continuación. Una vez que realices los cambios en /etc/selinux/config, reinicia el servidor para que se consideren los cambios.

Los siguientes son los valores posibles para la variable SELINUX en el archivo /etc/selinux/config

  • enforcing: la política de seguridad siempre está impuesta
  • permissive: esto simplemente simula la política de cumplimiento mediante la impresión de mensajes de advertencia y no aplica SELinux. Es bueno ver primero cómo funciona SELinux y luego averiguar qué políticas deben aplicarse.
  • disabled: desactiva completamente SELinux

Los siguientes son los valores posibles para la variable SELINUXTYPE en el archivo /etc/selinux/config. Esto indica el tipo de políticas que se pueden usar para SELinux.

  • targeted: esta política protegerá solo demonios de red específicos.
  • strict: esto es para la máxima protección de SELinux.

Método 3: deshabilitar SELinux desde el gestor de arranque GRUB

Si no puedes ubicar el archivo /etc/selinux/config en tu sistema, puedes desactivar SELinux pasándolo como parámetro al GESTOR DE ARRANQUE GRUB como se muestra a continuación.

Método 4: deshabilitar solo un servicio específico en SELinux – HTTP/Apache

Si no estás interesado en deshabilitar todo SELinux, también puedes deshabilitar SELinux solo para un servicio específico. Por ejemplo, deshabilita SELinux para el servicio HTTP/Apache, modifica la variable httpd_disable_trans en el archivo /etc/selinux/targeted/booleans.

Establece la variable httpd_disable_trans en 1 como se muestra a continuación.

Debes establecer el valor booleano SELinux usando el comando setsebool como se muestra a continuación. Asegúrate de reiniciar el servicio HTTP después de este cambio.