SELinux deaktivieren

SELinux sort für Sicherheit. Sicherheit sorgt jedoch oftmals auf für Kopfschmerzen, da vieles plötzlich nicht mehr so funktioniert, wie es ursprünglich gedacht war.

Schnell kann aus einer entspannten 10-Minuten-Webserver-Konfiguration ein stressiger 10-Stunden-Tag werden. wenn es sich dabei nicht um ein produktives System handelt, ist es meist eine gute Idee, bevor man endgültig aufgibt, SELinux zu deaktivieren.

cat /etc/selinux/config

# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted

Es gibt drei Modi; einer davon ist der, der einem all zu oft das Leben schwer macht. Es handelt sich dabei um "enforcing". Dieser Modus ist - aus gutem Grund - Standard; also grundsätzlich aktiviert. Weicht man auch nur ein wenig vom Standard ab, wird die jeweilige Aktion am System unterbunden. Sehen kann man das recht nachvollziehbar in der Datei "/var/log/audit/audit.log".

Es ist also eine gute Idee auf diese Datei einen wachen Blick zu haben, was das, was schon immer "so" funktionierte, plötzlich kommentarlos den Dienst versagt. tail -f /var/log/audit/audit.log

Der Modus "permissive" protokolliert weiterhin mit, blockiert jedoch nicht den Zugriff auf dem System. Wenn man schon auf SELinux verzichten will, ist es nicht schlecht dennoch eben dieses Logging zu aktivieren.

Letztlich ist es jedoch der Modus "disabled", der dem ganzen "Zauber" ein Ende bereitet. Man ändere also die Datei "/etc/selinux/config" entsprechend auf

SELINUX=disabled

und starte das Betriebssystem erneut (der Kernel will schließlich auch was von der Änderung wissen).

Nun ist "alles" wieder so wie immer. - Es funktioniert! ;-)