Abschalten von SELinux

Vielleicht wollen Sie SELinux einfach nur abschalten. Ich kann dieses Vorgehen nicht empfehlen, sondern Ihnen nur raten, sich mit dem System zu beschäftigen und es zu nutzen. Es wird die Sicherheit Ihres Systems enorm erhöhen.

Falls Sie sich dennoch dazu entscheiden, möchte ich Ihnen zeigen, wie Sie dies richtig bewerkstelligen. Eigentlich ist es ganz einfach. Es gibt drei Möglichkeiten:

• Sie können SELinux komplett abschalten.
• Sie können SELinux in einen Warnmodus versetzen.
• Sie können SELinux für einen einzelnen Dienst abschalten, wenn Sie die Targeted Policy verwenden.

Während die dritte Alternative im nächsten Abschnitt betrachtet wird, werden wir hier die ersten beiden Möglichkeiten besprechen. Die Konfiguration von SELinux erfolgt in der Datei /etc/selinux/config. Diese Datei enthält unter anderem die folgenden Zeilen:

# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=permissive

Der Wert der Variable SELINUX bestimmt das Verhalten bei dem Boot:

• Enforcing: SELinux ist aktiv und setzt die Policy um. SELinux kann zur Laufzeit in den Modus Permissive versetzt werden.
• Permissive: SELinux ist aktiv. Verletzungen der Policy werden erlaubt aber protokolliert. SELinux kann zur Laufzeit in den Modus Enforcing versetzt werden.
• Disabled: Dies schaltet SELinux komplett ab. Es kann zur Laufzeit nicht aktiviert werden. Ein Reboot ist hierzu erforderlich.

Um SELinux komplett abzuschalten, genügt daher die folgende Zeile in der Datei /etc/selinux/config:

SELINUX=disabled

Achtung. Es ist wichtig, dass Sie in dieser Zeile keine Leerzeichen einfügen. Sie müssen aber berücksichtigen, dass nun ohne einen Neustart des Systems keine Aktivierung von SELinux möglich ist. SELinux kann nicht, wie zum Beispiel AppArmor, im laufenden Betrieb geladen werden. Außerdem verlangt ein späterer Start mit aktiviertem SELinux immer ein komplettes Relabeling (siehe 27.3) des Systems, so als ob SELinux nie auf dem System aktiv gewesen sei (siehe 30).