[CentOS] SELinux 설정 / 해제[CentOS] SELinux 설정 / 해제
Posted at 2018. 10. 23. 16:27 | Posted in Linux/CentOS출처 : https://www.lesstif.com/pages/viewpage.action?pageId=6979732
■ SELinux 설정 / 해제
SELinux는 Linux의 보안을 강화해 주는 보안 강화 커널이고 zero-day 공격 및 buffer overflow 등 어플리케이션 취약점으로 인한 해킹을 방지해 주는 핵심 구성요소이다.
특정 서비스가 SELinux 때문에 동작하지 않는다면 SELinux를 끄기 보다는 해당 서비스가 SELinux 하에서 잘 동작하도록 설정을 수정하는걸 권장한다.
#01. SELinux 동작모드
enforce, permissive, disable 세가지 모드가 있으며 Red Hat Enterprise Linux / CentOS를 설치하면 default 로 enforce mode로 동작하며 SELinux의 rule에 어긋나는 operation은 거부된다.
현재 SELinux의 동작 모드는 sestatus 명령으로 확인할 수 있다.
SELinux 모드 확인 |
# sestatus SELinux status: enabled SELinux mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 24 Policy from config file: targeted |
Permissive mode는 rule에 어긋나는 동작이 있을 경우 audit log를 나믹고 해당 operation은 허용된다.
개발 서버일 경우 특정 daemon 이나 서비스에 문제가 있을 경우 setenforce 0으로 Permissive mode 로 전환하여 문제해결 후 enforce mode로 전환하는걸 추천한다.
|
# setenforce 0 # sestatus SELinux status: enabled SELinux mount: /selinux Current mode: permissive Mode from config file: enforcing Policy version: 24 Policy from config file: targeted |
#02. SELinux 해제
① vi편집기로 실행 selinux 실행 # vi /etc/sysconfig/selinux ② SELINUX의 enforcing 라고 되어 있는 부분을 disabled로 수정한다. # This file controls the state of SELinux on the system. ③ CentOS를 재시작 한다. # reboot |
※ SELinux 해제한 경우
· 인터넷에 연결된 리눅스 서버라면 SELinux 해제는 결코 추천하지 않는다.
· 해제할 경우 다시 활성화 시키려면 재부팅이 필요하며 재부팅시 모든 자원에 대해 보안 레이블을 설정해야 하므로 부팅시간이 매우 오래 걸릴 수 있다.
· SElinux를 해제후 다시 켤 경우 relabel이 필요하며 이때 잘못된 설정이 있을 경우 부팅이 안되거나 ssh로 원격 접속이 불가능할 수 있으므로 enforcing 모드가 아닌 permissive로 설정후 재부팅하는것을 권장한다.
