Hotline:0904 558 448
- Việt Nam
English
Việt NamEnglishSELinux (Security-Enhanced Linux) là một công cụ bảo mật mạnh mẽ, cung cấp các biện pháp kiểm soát truy cập nghiêm ngặt hơn so với các cơ chế bảo mật truyền thống. Tuy nhiên, trong một số tình huống, bạn có thể cần phải tạm thời vô hiệu hóa SELinux để cài đặt phần mềm, kiểm thử ứng dụng, hoặc thực hiện các tác vụ khác. Bài viết dưới đây của CloudFly sẽ giúp bạn hiểu rõ hơn về SELinux là gì. Đồng thời hướng dẫn cách vô hiệu hóa SELinux trên CentOS một cách an toàn và hiệu quả.
SELinux (Security-Enhanced Linux) là một module bảo mật trong kernel Linux. Được phát triển bởi NSA và phát hành dưới mã nguồn mở, hệ thống này sử dụng các chính sách bảo mật chặt chẽ để kiểm soát truy cập. Từ đó giúp hệ thống của bạn luôn an toàn và đảm bảo dữ liệu không bị xâm phạm.
Với SELinux, bạn có thể đặt ra các giới hạn truy cập cho từng người dùng và chương trình trên hệ thống. Đồng thời xác định cụ thể những file nào được phép truy cập và những hành động nào có thể thực hiện. Nó cũng giám sát các hành vi của quy trình trong hệ thống để phát hiện các hoạt động đáng ngờ, giúp ngăn chặn tấn công từ hacker hoặc mã độc. Mặc dù cung cấp một lớp bảo mật vững chắc, nhưng với những người quản trị chưa quen thuộc, việc cấu hình và quản lý SELinux có thể đòi hỏi thời gian và sự cẩn trọng.
DAC (Discretionary Access Control) là cơ chế bảo mật phổ biến trên các hệ điều hành như Linux, *BSD, macOS và Unix. Với DAC, mỗi tiến trình hoạt động dưới quyền một người dùng và nhóm cụ thể. Ví dụ, tiến trình httpd chạy dưới tài khoản "apache", vì vậy nó có quyền truy cập các tệp và thư mục của apache. Nếu httpd bị tấn công, hacker có thể sửa đổi hoặc phá hủy dữ liệu của apache. Thậm chí lợi dụng thư mục tạm để cài backdoor và chiếm quyền kiểm soát hệ thống.
Khác với DAC, SELinux áp dụng chính sách bảo mật nghiêm ngặt cho từng đối tượng. Cũng như kiểm soát quyền truy cập dựa trên các chính sách cố định. Nhờ đó ngăn ngừa sự can thiệp tùy ý của người dùng và tăng cường bảo mật hệ thống.
MAC, viết tắt của Mandatory Access Control, là cơ chế bảo mật mà SELinux sử dụng để kiểm soát quyền truy cập trong hệ thống Linux. Nó được tích hợp sẵn và mặc định kích hoạt trên Fedora, CentOS, RHEL. Với SELinux, quản trị viên có thể định rõ quyền cho từng tiến trình, giới hạn tương tác của chúng với các tệp, thư mục và tiến trình khác. Nhờ đó giúp giảm thiểu rủi ro từ các cuộc tấn công. Ví dụ, một tài khoản apache có thể chỉ truy cập thư mục /var/www/html mà không đụng tới các vùng khác, hạn chế hacker nếu xâm nhập qua apache.
SELinux cung cấp các lớp bảo vệ chính, bao gồm:
Tuy nhiên, SELinux không thay thế các phương pháp bảo mật khác như giám sát máy chủ, cập nhật bản vá và cấu hình tường lửa.
SELinux có ba chế độ hoạt động chính, mỗi chế độ có vai trò khác nhau trong việc bảo vệ và kiểm soát hệ thống.
SELinux là một công cụ bảo mật mạnh mẽ cho hệ thống Linux. Nhưng đôi khi, bạn có thể cần tạm thời vô hiệu hóa nó trong một số trường hợp nhất định:
Tuy nhiên, việc vô hiệu hóa SELinux có thể làm giảm tính bảo mật của hệ thống. Nếu không cần thiết, bạn nên giữ SELinux hoạt động. Nếu phải vô hiệu hóa, bạn chỉ nên làm tạm thời và bật lại sau khi hoàn thành tác vụ.
Để tạm thời vô hiệu hóa SELinux cho đến khi bạn khởi động lại hệ thống, bạn có thể dùng lệnh sau:
$ echo 0 > /selinux/enforce
Hoặc:
$ setenforce 0
Khi cần kích hoạt lại SELinux, bạn sử dụng lệnh sau:
$ echo 1 > /selinux/enforce
Hoặc:
$ setenforce 1
Những lệnh này giúp bạn bật hoặc tắt SELinux một cách nhanh chóng mà không cần thay đổi cấu hình hệ thống.
Để vô hiệu hóa SELinux, bạn cần sửa đổi tệp cấu hình sau:
$ vi /etc/selinux/config
Trong tệp này, bạn thay đổi giá trị SELINUX=disabled như sau:
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
Sau khi lưu thay đổi, bạn hãy khởi động lại hệ thống để áp dụng cấu hình mới.
Để xác nhận xem SELinux đã bị vô hiệu hóa hay chưa, bạn có thể sử dụng lệnh sau:
sestatus
Nếu trạng thái của SELinux hiển thị là "disabled", điều đó có nghĩa là bạn đã vô hiệu hóa thành công SELinux.
>>> Xem thêm:
Hy vọng bài viết trên trên đã giúp bạn hiểu rõ hơn về SELinux là gì và cách vô hiệu hóa SELinux trên CentOS. Nếu còn thắc mắc hay muốn đăng ký máy chủ ảo Cloud Server tại CloudFly, hãy liên hệ ngay với chúng tôi qua thông tin bên dưới để được tư vấn và hỗ trợ chi tiết. Đội ngũ kỹ thuật có chuyên môn cao luôn sẵn sàng 24/7 để giải quyết mọi vấn đề của bạn.
THÔNG TIN LIÊN HỆ:
