Opzione per disabilitare SELinux - Amazon Linux 2023

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Opzione per disabilitare SELinux

Quando disabiliti SELinux, la policy di SELinux non viene caricata o applicata. I messaggi di Access Vector Cache (AVC) non vengono registrati. Così perdi tutti i vantaggi derivanti dall'esecuzione di SELinux.

Invece di disabilitare SELinux, consigliamo di utilizzare la modalità permissive. L'esecuzione in modalità permissive costa appena poco di più rispetto alla disattivazione completa di SELinux. La transizione dalla modalità permissive alla modalità enforcing richiede molte meno modifiche alla configurazione rispetto al ritorno alla modalità enforcing dopo aver disabilitato SELinux. Puoi etichettare i file, e il sistema può tracciare e registrare i log delle azioni che la policy attiva potrebbe aver negato.

Passaggio di SELinux alla modalità permissive

Quando esegui SELinux in modalità permissive, la policy di SELinux non viene applicata. In modalità permissive, SELinux registra i log di messaggi AVC ma non nega le operazioni. Puoi utilizzare questi messaggi AVC per la risoluzione dei problemi, il debug e il miglioramento delle policy di SELinux.

  1. Modifica il file /etc/selinux/config per passare alla modalità permissive. Il valore SELINUX deve essere simile a quello riportato nell'esempio.

    SELINUX=permissive
  2. Riavvia il sistema per completare il passaggio alla modalità permissive.

    sudo reboot

Disabilitazione di SELinux

Quando disabiliti SELinux, la policy di SELinux non viene caricata o applicata e i messaggi AVC non vengono registrati in log. Così perdi tutti i vantaggi derivanti dall'esecuzione di SELinux.

  1. Assicurati che il pacchetto grubby sia installato.

    rpm -q grubby grubby-version
  2. Configura il bootloader per aggiungere selinux=0 alla riga di comando del kernel.

    sudo grubby --update-kernel ALL --args selinux=0
  3. Riavvia il sistema.

    sudo reboot
  4. Esegui il comando getenforce per verificare che SELinux sia Disabled.

    $ getenforce Disabled

Per ulteriori informazioni su SELinux, consulta le pagine dedicate a SELinux Notebook e configurazione SELinux.