وبنولوژی

در پاره ای از موارد مثل زمانی که قصد داریم یک بستۀ نرم افزاری را نصب کنیم، اول باید SELinux را در لینوکس غیر فعال کنیم. در قسمت ۷۲ از مجموعه آموزشی مدیریت سرور لینوکس به این موضوع خواهیم پرداخت. SELinux سرنام عبارت Security-Enhanced Linux یک ساز و کار امنیتی قوی برای هر چه بیشتر امن کردن این سیستم عامل است. به طور پیش فرض SELinux در تمامی توزیع های لینوکس فعال می باشد. هر چند که ممکن است بدون غیر فعال کردن SELinux هم بتوانیم کارمان را انجام دهیم، اما در مواقعی هم لازم است و شاید ما را با مشکل مواجه سازد. پس با غیر فعال کردن SELinux در CentOS همراه با وبنولوژی باشید.

غیر فعال کردن SELinux در CentOS

هر چند که غیر فعال کردن دائمیِ SELinux به هیچ عنوان پیشنهاد نمی شود، ولی سه سطح امنیتی برای این بخش از لینوکس وجود دارد که یکی از آنها disabled برای غیرفعال کردن آن است. به جهت شروع کار ما با پروندۀ selinux در مسیر زیر نیاز داریم. پس باید آن را در یک ویرایشگر متنی مثل vi یا nano باز کنیم.

/etc/sysconfig/selinux

پس ما با استفاده از نرم افزار nano با دستور زیر این پرونده را برای ویرایش باز می کنیم.

vi /etc/sysconfig/selinux

خود شما هم می توانید دستور بالا را بزنید و اگر nano نصب نیست آن را با دستور yum نصب کنید. اما محتویات این فایل در CentOS 6 باید شبیه خط های زیر باشد:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

خط هایی که با # شروع شدند، توضیحاتی هستند که در روند اجرای این سند تاثیری ندارند. پس دو خط مهم ما اینجا داریم که یکی با SELINUX= شروع می شود. مقداری که روبروی این عبارت قرار می گیرد، وضعیت فعال یا غیرفعال بودن SELinux را تعیین می کند.

Enforcing : در این حالت SELinux فعال است و به طور کامل کار می کند. سفت و سخت گیرانه ترین حالت همین حالت است.

Permissive : با انتخاب این حالت SELinux یک رویۀ آسانی را در پیش می گیرد. به عنوان مثال اگر یک عملیات در حالت Enforcing مسدود شود، در این حالت مسدود نشده. در عوض گزارش آن در سند /var/log/audit/
audit.log ذخیره می شود. در این حالت برچسب گذاری پرونده ها و پردازش ها انجام می گیرند.

Disabled : این سطح به طور کامل SELinux را غیرفعال می کند. گزارش گیری و برچسب گذاری پرونده ها و پردازش ها هم متوقف می شود. برای مدت زمان طولانی، این سطح از حفاظت به هیچ عنوان پیشنهاد نمی شود!

خب پس طبیعی است که برای غیر فعال کردن SELinux در CentOS ما باید روبروی عبارت SELINUX= مقدار disabled را قرار دهیم. پس از آن هم باید سند را ذخیره کرده و با دستور reboot یک بار سرور را راه اندازیِ مجدد کنید.

مشاهده وضعیت SELinux

برای اینکه ببینیم همینک SELinux در چه سطحی از امنیت در حال فعالیت است، باید از دستور زیر استفاده کنیم:

[root@webnology ~]# getenforce
Enforcing

که نتیجه ای که این دستور به ما بر می گرداند، نشان می دهد در حال حاضر SELinux در سخت گیرانه ترین حالت در حال فعالیت است (Enforcing).

تغییر سطح حفاظت SELinux با دستور Setenforce

یک روش دیگر برای تغییر سطح حفاظت SELinux وجود دارد که در این روش شما قادر به غیرفعال کردن کامل یا همان disabled کردن SELinux نیستید. برای این منظور باید از دستور setenforce استفاده کنید. مقداری که روبروی این دستور می گذارید باید یا Enforcing یا Permissive باشد.

[root@webnology ~]# setenforce Permissive

پس دستور بالا SELinux را از حالت Enforcing به حالت Permissive در خواهد آورد. نتیجه را می توانید با دستور getenforce بررسی کنید.

با این آموزش شما الان قادرید حالت ها یا سطوح امنیتیِ SELinux را تغییر داده، که در شرایطی مثل نصب کنترل پنل هایی از قبیل cPanel یا DirectAdmin این کار باید انجام می شد. البته اگر خود نصاب کنترل پنل این کار را انجام ندهد.