2.5. SELinux 비활성화
SELinux를 비활성화하면 시스템이 SELinux 정책을 로드하지 않습니다. 결과적으로 시스템은 SELinux 정책을 적용하지 않고 AVC(Access Vector Cache) 메시지를 기록하지 않습니다. 따라서 SELinux 실행의 모든 이점이 사라집니다.
성능이 취약한 보안으로 인해 상당한 위험이 발생하지 않는 시스템과 같이 특정 시나리오를 제외하고 SELinux를 비활성화하지 마십시오.
프로덕션 환경에서 디버깅을 수행해야 하는 경우 SELinux를 영구적으로 비활성화하는 대신 허용 모드를 일시적으로 사용합니다. 허용 모드에 대한 자세한 내용은 허용 모드로 변경을 참조하십시오.
사전 요구 사항
grubby
패키지가 설치되어 있습니다.$ rpm -q grubby grubby-<version>
절차
selinux=0
을 커널 명령줄에 추가하도록 부트 로더를 구성합니다.$ sudo grubby --update-kernel ALL --args selinux=0
시스템을 다시 시작하십시오.
$ reboot
검증
재부팅 후
getenforce
명령이Disabled
:을 반환하는지 확인합니다.$ getenforce Disabled
대체 방법
RHEL 8에서는 /etc/selinux/config
파일에서 SELINUX=disabled
옵션을 사용하여 더 이상 사용되지 않는 SELinux를 비활성화하는 방법을 계속 사용할 수 있습니다. 그러면 SELinux가 활성화된 상태로 커널이 부팅되고 부팅 프로세스 후반부에서 비활성화 모드로 전환됩니다. 결과적으로 커널 패닉을 유발하는 메모리 누수 및 경쟁 조건이 발생할 수 있었습니다. 이 방법을 사용하려면 다음을 수행합니다.
선택한 텍스트 편집기에서
/etc/selinux/config
파일을 엽니다. 예를 들면 다음과 같습니다.# vi /etc/selinux/config
SELINUX=disabled
옵션을 구성합니다.# This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted
변경 사항을 저장하고 시스템을 다시 시작하십시오.
# reboot