Selinux настройка centos 7: Настройка SELinux в CentOS. Примеры настройки SELinux

Настройка SELinux в CentOS. Примеры настройки SELinux

Обновлено: Опубликовано:

Тематические термины: SELinux, CentOS

В данной инструкции рассмотрим общий принцип настройки SELinux.

Принцип настройки SELinux
Команды для управления службой
Настройка SELinux

    Просмотр настроек для контакста

    Смена контекста безопасности

    Работа с портами

    Использование политик
Диагностика проблем
Примеры
SELinux в Ubuntu

Принцип работы

В «двух словах», SELinux расширяет возможности стандартной системы безопасности (на основе прав доступа к файлам). Она позволяет ограничить доступ процессу, который запускается от имени пользователя, у которого прав больше, чем нужно данному процессу. Чтобы понять наглядно принцип работы SELinux, рассмотрим контекст безопасности — сочетание сущности, роли, домена и категории (не обязательно).

Вот как выглядят права SELinux:

<сущность>:<роль>:<домен/тип>:<уровень:категория>

Например: 

unconfined_u:object_r:user_home_t:s0

system_u:system_r:kernel_t:s0

<сущность> или тип пользователя — это субъект, совершающий действие. Чаще всего, процесс или программа.

<роль> — список разрешенных операций или сочетание доменов. Роли нельзя объединять.

<домен/тип> — набор минимальных действий, необходимый для выполнения операции. Термин «Домен» применяется к процессам, «Тип» — к файлам и папкам.

<уровень:категория> — в стандартных политиках SELinux не применяется. Используется для MLS/MCS (Model Multi-Level Security / Multi-Category Security), в которых используются уровни доступа для файлов определенных категорий. Например, s0-s0:c0.c1023 — максимально разрешенный уровень доступа.

Так как же это работает

Принцип довольно прост — необходимо, чтобы процесс и файл, к которому он обращается находились в одном домене/типе.

Чтобы понять было проще, разберем настройки на примерах.

Общие команды

Посмотреть состояние работы SELinux (развернуто):

sestatus

Посмотреть кратко — работает или нет:

getenforce

Отключить SELinux (разово до перезагрузки):

setenforce 0

Включить (разово):

setenforce 1

* если SELinux переведен в состояние disabled (выключена), данная команда не сработает. Необходимо перевести систему безопасности в режим enforcing (строгий режим работы) или permissive (разрешать все, но вести лог).

Подробнее о включении/отключении системы безопасности читайте статью Как отключить SELinux.

Настройка SELinux

Настройка задается контекстом безопасности, который назначается на файлы. Повторюсь, домен процесса должен быть таким же, как и тип файла.

В системе должен быть установлен пакет policycoreutils-python:

yum install policycoreutils-python

Просмотр текущих настроек контекста безопасности

Для файлов:

ls -Z

* команда покажет все файлы в текущей директории и выведет для каждого контекст безопасности.

Для процессов:

ps -aeZ

* можно использовать grep для выборки определенного процесса или файла.

Вывод каталогов/файлов и применяемых к ним по умолчанию контекстов безопасности:

semanage fcontext -l

Смена контекста безопасности

Задаем метки по умолчанию, которые должны применяться ко всем файлам в каталоге:

semanage fcontext —add —type NetworkManager_etc_rw_t ‘/etc/NetworkManager/NetworkManager(/.*)?’

* в данном примере мы задали правило, что всем файлам в директории /etc/NetworkManager/NetworkManager будут назначаться SELinux права (тип) NetworkManager_etc_rw_t. Однако нужно понимать, что это не приведет к смене прав для файлов, которые уже находятся в каталоге.

Сбрасываем права на заданные по умолчанию:

restorecon /etc/NetworkManager/NetworkManager

* все права сменятся на те, которые мы указали командой semanage fcontext.

Редактируем права на файл:

chcon -v —type=cron_spool_t /var/spool/cron

* команда задаст права на /var/spool/cron. Также можно использовать рекурсивный запрос, чтобы применить метки ко всех файлам в каталоге. Это делается с добавлением опции -R.

Использование команды chcon нежелательно, так как в случае применения правил по умолчанию, установленные права будут сбрасываться, что приведет к неочевидным проблемам. По возможности, стоит применять команды semanage fcontext и restorecon.

Открытие портов

Права на использование сетевых портов также контролируются с помощью SELinux.

Пример для разрешения использовать http-запросы:

semanage port -m -t http_port_t -p tcp 80

semanage port -m -t http_port_t -p tcp 443

* в данном примере для портов 80 (http) и 443 (https) для контекста http_port_t.

Посмотреть список портов, и для каких контекстов они разрешены можно командой:

semanage port -l

Готовые политики

Разработчики некоторых программных решений предоставляют готовые наборы настроек SELinux для своих программ.

Список установленных редактируемых политик можно посмотреть следующей командой:

getsebool -a

* команда выведет название политик и их статус: включена — on, отключена — off.

Чтобы изменить состояние готовой политики, вводим команду:

setsebool -P <имя политики> <on или off>

Например:

setsebool -P virt_use_samba on

Диагностика проблем

Для поиска проблем в настройке политик сначала необходимо перевести режим работы SELinux в permissive. Для этого открываем файл:

vi /etc/selinux/config

… и отредактировать опцию SELINUX:

SELINUX=permissive

После перезагружаем компьютер:

shutdown -r now

Теперь можно просмотреть лог-файл:

tail -f /var/log/audit/audit.log

Примеры настройки

Чтобы не раздувать статью, примеры выведены в отдельную инструкцию.

SELinux в Ubuntu

В других системах на базе ядра Linux, например, Debian/Ubuntu, настройки SELinux выполняется способами, описанными выше. Единственное отличие — по умолчанию, данная система безопасности не установлена. Для установки необходимо выполнить команду:

apt-get install selinux

 И можно приступать к настройке.

Как отключить SELinux на CentOS 7

13.11.20202020-11-13T10:56:32+03:002021-01-14T13:26:45+03:00
CentOS, Linux
Комментариев нет

SELinux ( Security Enhanced Linux ) — это модуль безопасности ядра Linux, который позволяет администраторам и пользователям больше контролировать контроль доступа. Он разрешает доступ на основе правил политики SELinux.

Правила политики SELinux определяют, как процессы и пользователи взаимодействуют друг с другом, а также как процессы и пользователи взаимодействуют с файлами.

Если никакое правило политики SELinux явно не разрешает доступ, например, для процесса, открывающего файл, доступ запрещается.

SELinux имеет три режима:

  • Применение: SELinux разрешает доступ на основе правил политики SELinux.
  • Разрешающий: SELinux регистрирует только те действия, которые были бы запрещены при работе в принудительном режиме.
  • Отключено: политика SELinux не загружена.

По умолчанию в CentOS 7 SELinux включен и находится в принудительном режиме.

Рекомендуется оставить SELinux в принудительном режиме, но в некоторых случаях вам может потребоваться установить его в разрешающий режим или полностью отключить.

В этом руководстве мы покажем вам, как отключить SELinux в системах CentOS 7.

Содержание

Подготовка

Перед тем, как начать работу с руководством, убедитесь, что вы вошли в систему как пользователь с привилегиями sudo .

Проверьте статус SELinux

Чтобы просмотреть текущий статус SELinux и политику SELinux, которая используется в вашей системе, используйте команду sestatus :

sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      31

Из вывода выше видно, что SELinux включен и установлен в принудительный режим.

Отключить SELinux

Вы можете временно изменить режим SELinux с targeted на permissive с помощью следующей команды:

sudo setenforce 0

Однако это изменение действительно только для текущего сеанса выполнения.

Чтобы навсегда отключить SELinux в системе CentOS 7, выполните следующие действия:

  1. Открыть /etc/selinux/config и SELINUX disabled /etc/selinux/config файл и установить SELINUX мод для disabled :

    / и т.д. / selinux / config

    # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX = disabled # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection.  SELINUXTYPE = targeted

  2. Сохраните файл и перезагрузите систему CentOS с помощью:

    sudo shutdown -r now

  3. После загрузки системы проверьте изменение с sestatus команды sestatus :

    sestatus

    Результат должен выглядеть так:

    SELinux status: disabled

Выводы

В этом руководстве вы узнали, как навсегда отключить SELinux в системах CentOS 7.

Вам также следует посетить руководство по CentOS SELinux и узнать больше о мощных функциях SELinux.

Если у вас есть вопросы или замечания, пожалуйста, оставьте комментарий ниже.

Руководство для начинающих по SELinux на CentOS 7 |
Linode Docs

&nbspresults match&nbsp

&nbspresults

Нет результатов

Фильтры

Фильтры (
)

Все

0, ‘текст-белый’: checkbox. checked, ‘текст-серый-400’: !checkbox.checked && checkbox.count === 0 }» style=letter-spacing:.07px x-text=checkbox.title>

Добавить теги

Все

0, ‘текст-белый’: checkbox.checked, ‘текст-серый-400’: !checkbox.checked && checkbox.count === 0 }» style=letter-spacing:.07px x-text=checkbox.title>

Добавить авторов

Все

0, ‘текст-белый’: checkbox.checked, ‘текст-серый-400’: !checkbox.checked && checkbox.count === 0 }» style=letter-spacing:.07px x-text=checkbox.title>

Обновлено
, автор: Angel Guarisma

Это руководство было написано для CentOS 7. Другое
Доступны дистрибутивы:

Выберите дистрибутив:

  • CentOS 8

Traducciones al Español

Estamos traduciendo nuestros guías y tutoriales al Español. Эс
posible que usted esté viendo una traducción generada
автоматический. Estamos trabajando con traductores profesionales
пункт verificar лас traducciones де нуэстро ситио сети. Эсте проект
es un trabajo en curso.

Создать учетную запись Linode
чтобы попробовать это руководство с кредитом в долларах США.

Этот кредит будет применяться к любым действительным услугам, использованным во время вашего первого
дней.

SELinux — это система обязательного контроля доступа (MAC), разработанная АНБ. SELinux был разработан как замена дискреционного контроля доступа (DAC), который поставляется с большинством дистрибутивов Linux.

Разница между DAC и MAC заключается в том, как пользователи и приложения получают доступ к машинам. Традиционно команда sudo дает пользователю возможность повысить права доступа до корневого уровня. Корневой доступ в системе DAC дает пользователю или программе доступ ко всем программам и файлам в системе.

Лицо с корневым доступом должно быть доверенным лицом. Но если безопасность была скомпрометирована, то же самое произошло и с системой. SELinux и MAC решают эту проблему, ограничивая привилегированные процессы и автоматизируя создание политики безопасности.

SELinux по умолчанию запрещает все, что явно не разрешено. SELinux имеет два глобальных режима: разрешающий и принудительный . Разрешающий режим позволяет системе функционировать как система DAC, регистрируя каждое нарушение в SELinux. Принудительный режим применяет строгий отказ в доступе ко всему, что явно не разрешено. Чтобы явно разрешить определенное поведение на машине, вы, как системный администратор, должны написать политики, разрешающие это. Это руководство содержит краткое и базовое введение в часто используемые команды и методы системного администрирования SELinux.

Перед началом работы

  1. Убедитесь, что вы следовали руководствам по началу работы и обеспечению безопасности сервера.

    Примечание

    Это руководство написано для пользователя без полномочий root. Команды, требующие повышенных привилегий, имеют префикс sudo . Если вы не знакомы с командой sudo , вы можете ознакомиться с нашим руководством по пользователям и группам.

  2. Обновите свою систему:

     sudo yum update

    Примечание

    Ядро Linode по умолчанию не поддерживает SELinux. Однако все новые линоды, работающие под управлением CentOS 7, используют ядро, поставляемое с дистрибутивом, которое имеет SELinux включен по умолчанию .

    Если в вашей системе работает ядро ​​Linode, вам потребуется перейти на ядро ​​вышестоящей ветки, чтобы использовать SELinux. Дополнительные шаги см. в разделе Как изменить ядро ​​Linode. После того, как ваше ядро ​​настроено на исходное ядро, продолжайте выполнять шаги, описанные в этом руководстве.

Установка поддерживающих пакетов SELinux

В этом разделе вы установите различные пакеты SELinux, которые помогут вам при создании, управлении и анализе политик SELinux.

  1. Проверьте, какие пакеты SELinux установлены в вашей системе:

     sudo rpm -aq | grep selinux

    В только что развернутом CentOS 7 Linode должны быть установлены следующие пакеты:

     libselinux-2.5-14.1.el7.x86_64
selinux-policy-3.13.1-252.el7_7.6.noarch
selinux-политика-целевая-3.13.1-252.el7_7.6.noarch
libselinux-utils-2.5-14.1.el7.x86_64
libselinux-python-2.5-14.1.el7.x86_64

  2. Установите следующие пакеты и связанные с ними зависимости:

     sudo yum установить policycoreutils policycoreutils-python setools settools-console setroubleshoot
    • policycoreuitls и policyoreutils-python содержат несколько инструментов управления для администрирования среды и политик SELinux.
    • setools предоставляет инструменты командной строки для работы с политиками SELinux. Некоторые из этих инструментов включают sediff , которые можно использовать для просмотра различий между политиками, seinfo 9. 0064 инструмент для просмотра информации о компонентах, составляющих политики SELinux, и sesearch , используемый для поиска в ваших политиках SELinux. setools-console состоит из sediff , seinfo и sesearch . Вы можете ввести параметр --help после любого из перечисленных инструментов, чтобы просмотреть дополнительную информацию о каждом из них. Набор инструментов
    • setroubleshoot поможет вам определить, почему сценарий или файл может быть заблокирован SELinux.

    При необходимости установите setroubleshoot-server и mctrans . setroubleshoot-server позволяет, среди прочего, отправлять уведомления по электронной почте с сервера, чтобы уведомить вас о любых нарушениях политики. Демон mctrans переводит вывод SELinux в удобочитаемый текст.

Состояния SELinux

Когда SELinux установлен в вашей системе, он может быть либо включен , либо отключен . По умолчанию образ CentOS 7, предоставленный Linode, имеет SELinux во включенном состоянии.

  • Чтобы отключить SELinux, обновите файл конфигурации SELinux с помощью текстового редактора по вашему выбору. Установите для директивы SELINUX значение disabled , как показано в примере.

    Файл: /etc/selinux/config
     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
 
     # Этот файл контролирует состояние SELinux в системе.
# SELINUX= может принимать одно из следующих трех значений:
# enforcing - применяется политика безопасности SELinux.
# permissive - SELinux печатает предупреждения вместо принудительного.
# disabled - Политика SELinux не загружена.
СЕЛИНУКС=отключено
# SELINUXTYPE= может принимать одно из трех значений:
# target - Целевые процессы защищены,
# минимум - Модификация целевой политики. Защищаются только выбранные процессы. 
# mls - многоуровневая защита.
SELINUXTYPE=целевой

    Примечание

    Вы можете обновить директиву SELINUX , указав любое из доступных состояний или режимов SELinux.

  • Перезагрузите Linode, чтобы изменения вступили в силу:

     sudo reboot

  • Подключитесь к вашему Linode через SSH (замените 192.0.2.0 на IP-адрес вашего собственного Linode) и проверьте статус установки SELinux:

     ssh [email protected]
  sudo sestatus

    Его вывод должен отображать отключено 

     Состояние SELinux: отключено

Режимы SELinux

Когда SELinux включен, он может работать либо в принудительном , либо в разрешительном режимах.

Примечание

Если SELinux в настоящее время отключен, обновите файл конфигурации SELinux с помощью директивы SELINUX , установленной на enable , затем перезагрузите систему и вернитесь по SSH к вашему Linode. Эти шаги описаны в разделе руководства «Состояния SELinux».

  • В принудительном режиме SELinux применяет свои политики в вашей системе и запрещает доступ на основе этих политик. Используйте следующую команду для просмотра загруженных в память модулей политики SELinux:

     sudo semodule -l

  • Разрешающий режим не применяет ни одну из ваших политик SELinux, вместо этого он записывает любые действия, которые были бы запрещены, в файл /var/log/audit/audit.log .

  • Вы можете проверить, в каком режиме работает ваша система, введя следующую команду:

     судо getenforce

  • Чтобы перевести SELinux в разрешающий режим, используйте следующую команду:

     sudo setenforce 0

    Разрешающий режим полезен при настройке системы, поскольку вы и компоненты вашей системы можете без ограничений взаимодействовать с вашими файлами, сценариями и программами. Однако вы можете использовать журналы аудита и системные сообщения, чтобы понять, что будет ограничено в принудительном режиме. Это поможет вам лучше создать необходимые политики для пользователей и программ вашей системы.

  • Используйте утилиту sealert для создания отчета из журнала аудита. Журнал будет содержать информацию о том, что блокирует SELinux, и о том, как разрешить это действие, если это необходимо.

     sudo sealert -a /var/log/audit/audit.log

    Вывод похож на пример, однако он зависит от программ и конфигураций вашей системы. Пример был создан с использованием Linode, на котором запущен веб-сервер Apache с конфигурацией виртуальных хостов.

     SELinux запрещает /usr/sbin/httpd доступ для записи в журналы каталога.
***** Плагин httpd_write_content (вероятность 92,2) предлагает ***************
Если вы хотите разрешить httpd иметь доступ на запись в каталог журналов
Затем вам нужно изменить метку на «журналах».
Делать
# semanage fcontext -a -t httpd_sys_rw_content_t 'журналы'
# restorecon -v 'журналы'

  • Чтобы разрешить /usr/sbin/httpd доступ на запись к журналам каталога, как показано в выводе, вы можете выполнить предложенные команды, semanage fcontext -a -t httpd_sys_rw_content_t 'журналы' и restorecon -v 'журналы' .

Контекст SELinux

SELinux помечает каждый объект на машине контекстом . Каждый файл, пользователь и процесс имеют контекст. Контекст разбит на три части: пользователь , роль и тип . Политика SELinux определяет, какие пользователи могут получить какие роли. Каждая конкретная роль накладывает ограничение на тип файлов, к которым может получить доступ пользователь. Когда пользователь входит в систему, ему назначается роль, как показано на рисунке 9.Например, 0063 ls -Z , вывод unconfined_u — это роль пользователя.

  1. Создайте каталог в своей домашней папке:

     mkdir ~/example_dir

  2. Распечатайте контекст безопасности SELinux для каталогов и файлов вашей домашней папки:

     ls -Z ~/

    Вывод аналогичен:

     drwxrwxr-x. example_user example_user unconfined_u:object_r:user_home_t:s0 example_dir

    Специфическая информация SELinux содержится в часть unconfined_u:object_r:user_home_t:s0 со следующим синтаксисом: пользователь:роль:тип:уровень . Чтобы узнать больше о пользователях, ролях и соответствующем контроле доступа, см. документацию CentOS SELinux.

SELinux Boolean

SELinux Boolean — это переменная, которую можно включать и выключать без необходимости перезагрузки или перекомпиляции политики SELinux.

  1. Вы можете просмотреть список логических переменных, используя getsebool -a 9Команда 0064. Передайте команду через grep , чтобы сузить результаты.

     sudo getsebool -a | grep "httpd_can"

    Вы увидите аналогичный вывод:

     httpd_can_check_spam --> off
httpd_can_connect_ftp --> выключено
httpd_can_connect_ldap --> выключено
httpd_can_connect_mythtv --> выключено
httpd_can_connect_zabbix --> выключено
httpd_can_network_connect --> выключено
httpd_can_network_connect_cobbler --> выключено
httpd_can_network_connect_db --> выключено
httpd_can_network_memcache --> выключено
httpd_can_network_relay --> выключено
httpd_can_sendmail --> выключено

    Вы можете изменить значение любой переменной с помощью команды setsebool . Если вы установите флаг -P , этот параметр сохранится при перезагрузке. Если, например, вы хотите разрешить HTTPD-скриптам и модулям подключаться к сети, обновите соответствующую логическую переменную.

     sudo setsebool -P httpd_can_network_connect ON

    При просмотре списка ваших логических переменных вы должны увидеть, что он установлен на ON .

     sudo getsebool -a | grep "httpd_can"
 
     httpd_can_check_spam --> выкл.
httpd_can_connect_ftp --> выключено
httpd_can_connect_ldap --> выключено
httpd_can_connect_mythtv --> выключено
httpd_can_connect_zabbix --> выключено
httpd_can_network_connect --> вкл.
httpd_can_network_connect_cobbler --> выключено
httpd_can_network_connect_db --> выключено
httpd_can_network_memcache --> выключено
httpd_can_network_relay --> выключено
httpd_can_sendmail --> off

Следующие шаги

Это руководство представляет собой краткое и базовое введение в администрирование SELinux. Теперь вы можете глубже погрузиться в SELinux, обратившись к некоторым ресурсам, включенным в раздел «Дополнительная информация» этого руководства.

Вы можете обратиться к следующим ресурсам для получения дополнительной информации
на эту тему. Хотя они предоставляются в надежде, что они будут
полезно, обратите внимание, что мы не можем ручаться за точность или своевременность
материалы внешнего размещения.

  • Графическое руководство по политикам
  • Пользовательские ресурсы SELinux
  • CentOS SELinux Wiki

Эта страница была первоначально опубликована на

центос
безопасность

Присоединяйтесь к разговору.

Прочитайте другие комментарии или разместите свои ниже. Комментарии должны быть уважительными,
конструктивны и соответствуют теме руководства. Не публиковать
внешние ссылки или реклама. Прежде чем публиковать, подумайте,
комментарий будет лучше адресован, связавшись с нашим
Служба поддержки или запрос на
наш
Сайт сообщества.

Система комментариев Disqus для Linode Docs требует принятия
Функциональные файлы cookie, которые позволяют нам анализировать использование сайта, чтобы мы могли
измерять и улучшать производительность. Для просмотра и создания комментариев к этому
статью, пожалуйста
обновить настройки файлов cookie
на этом веб-сайте и обновите эту веб-страницу. Обратите внимание: у вас должен быть
В вашем браузере включен JavaScript.

Включите JavaScript для просмотра
комментарии от Disqus.comments от Disqus
Disqus

Как включить SELinux в CentOS/RHEL 7

Введение

SELinux — это механизм безопасности, встроенный в ядро ​​Linux. Дистрибутивы Linux, такие как CentOS, RHEL и Fedora, по умолчанию оснащены SELinux.

SELinux повышает безопасность сервера, ограничивая и определяя, как сервер обрабатывает запросы и как пользователи взаимодействуют с сокетами, сетевыми портами и важными каталогами.

Например, если неавторизованный пользователь получает доступ, доступ к серверу ограничивается определенным разделом, ограничивая ущерб, вызванный утечкой данных. SELinux также может препятствовать установке пакетов программного обеспечения или прерывать процессы при обычном использовании.

Прочтите это краткое руководство, чтобы узнать, как включить SELinux в CentOS 7.

Предварительные требования

  • Учетная запись пользователя с привилегиями sudo
  • Доступ к терминалу/консоли
  • An R Система на основе HEL, такая как CentOS 7
  • Текстовый редактор, например nano

Режимы SELinux

SELinux имеет 3 режима.

  • Принудительный режим : Это режим по умолчанию. Он блокирует и регистрирует действия, противоречащие определенной политике.
  • Разрешающий режим : Разрешает выполнение действий и подробно регистрирует события. Этот режим полезен при тестировании возможностей SELinux. Изменение режимов между принудительным и разрешительным не требует перезагрузки системы.
  • Отключенный режим : Разрешает все действия и не регистрирует никаких действий. Для перехода в этот режим требуется перезагрузка системы. Узнайте больше об отключении SELinux.

Чтобы проверить текущие настройки, введите в терминале следующую команду:

 sestatus

Вывод подтверждает, что SELinux отключен.

Как включить SELinux

Чтобы включить SELinux, выполните следующие действия:

1. Нам нужно изменить статус службы в /etc/selinux/config файл. Используйте текстовый редактор, например Nano.

Например, используя nano, a откройте файл с помощью команды:

 sudo nano /etc/selinux/config

2. Теперь вы можете изменить режим SELinux на enforcing 9 0062 или разрешительный .

Отредактируйте выделенную строку в нужный вам режим.

3. Затем нажмите CTRL + X, чтобы сохранить изменения и выйти из режима редактирования. Нажмите «y» и нажмите Enter для подтверждения.

4. Для перезагрузки введите:

 sudo reboot

5. Чтобы проверить состояние SELinux, еще раз введите sestatus в командной строке.

Теперь результат подтверждает , что служба включена и находится в принудительном режиме.

Изменить режим SELinux

Вместо того, чтобы полностью отключать SELinux, хорошим вариантом является установка режима permissive . Когда действия происходят, они оставляют след в файле журнала.

Примечание: По умолчанию сообщения журнала SELinux находятся в файле /var/log/audit/audit.log .

Для изменения режима с принудительного на разрешающего введите:

 sudo setenforce 0

Чтобы включить ru принудительное включение режима , введите:

 sudo setenforce 1

Эти изменения применяются только к текущему сеансу.