Désactiver SELinux sur Centos 7 / Red Hat 7

Désactiver SELinux sur Centos 7 / Red Hat 7SELinux, à l’image d’AppArmor utilisé sur SUSE / OpenSUSE / Ubuntu, est un système de renforcement de la sécurité de vos systèmes Linux Fedora / CentOS / Red Hat. C’est accessoirement une véritable usine à gaz qu’il convient, en général, de désactiver sauf usage particulier de votre distribution Linux.

Sous CentOS 7 / Red Hat 7, il existe deux techniques pour désactiver SELinux qui peuvent être d’ailleurs combinées.

A chaud

Tapez à partir de la ligne de commande :

echo 0 > /sys/fs/selinux/enforce

ou

setenforce 0

 A froid

Avec nano, pico, vi ou mcedit, éditez le fichier /etc/selinux/config . Effectuez la modification suivante, en passant la valeur de la directive SELINUX à disabled :

SELINUX=disabled

La prise en compte de cette modification n’interviendra qu’après le redémarrage de votre système Linux.

Linux  / Centos Fedora Formateur Centos Formateur Fedora Formateur Linux Formateur Red Hat Formateur Sécurité informatique Red Hat Sécurité informatique selinux 

Commentaires

On peut penser ce que l’on veut de SELinux, mais ce n’est pas pour un usage « particulier », c’est pour compartimenter un peu et donc protéger des serveurs de prod. C’est un peu l’équivalent d’un firewall mais au niveau système.

À noter que modifier l' »enforcement » peut se faire plus simplement avec la commande « setenforce 0 », et ne désactive pas SELinux: le « firewall » est désactivé mais il continue de logguer les erreurs de sécurité, c’est-a-dire les operations hors-contexte.

le « disabled » désactive effectivement complètement SELinux, dans ce cas il ne log plus rien.

J’invite à ne pas désactiver SELinux, mais soit à le régler correctement, soit à le basculer en mode Permissive.

En plus, à chaud, plutôt que de faire le echo dans le /sys/fs/selinux, vous pouvez utiliser la commande : « setenforce ».

@Thelvaen

La mise en œuvre de SELinux est très compliquée. Je ne vois pas à quoi cela peut servir de le laisser « loguer » dans le cadre d’une utilisation du système sans l’avoir configuré et donc sans en comprendre le fonctionnement.

@Thelvaen/@Nico

Corrigé !

Laisser la machine en « permissive » permet d’activer SELinux en douceur, c’est à dire sans tout bloquer: on peut utiliser les outils SElinux pour ajouter des exceptions correspondant au fonctionnement normal des applis (ils se servent des logs pour ça); une fois qu’il n’y a plus de blocage indiqué dans les logs, on peut passer SELinux en « enforcing ».

À partir de là tout ce qui ne corresponds pas au fonctionnement normal des applis (accès à certains fichiers ou ports par exemple) est refusé par défaut.

La plupart des RPM incluent leurs jeux de règles pour ne pas être bloqués par défaut.

Alors certes SELinux est un peu contraignant, mais c’est quand même un vrai plus en matière de sécurité, et il n’est pas si compliqué que ça…sans être un expert, je maintiens tous mes serveurs en enforcing, des environnements de dev/inté jusqu’en prod :)

@Denis ça sert à voir si des choses anormales se produisent déjà. Ensuite ça permet de voir ce qui se passe pour faire les règles pour le configurer correctement, pour passer en Enforce.

@Denis : L’avantage supplémentaire du Permissive sur le Disabled, c’est que les tags SELinux sur les systèmes de fichiers sont préservés. Si un jour tu veux repasser en Enforced, tu n’auras pas à lui faire retaguer tout tes répertoires/disques.

On peut aussi le désactiver dans le grub…

Laisser un commentaire

(requis)

(requis)