Hace unos días explicábamos de que se trata SELinux, hoy la idea es verificar nuestros servidores para buscar si SELinux está o no activo y en caso de necesitarlo activar/desactivarlo.
Hay algunos Sysadmins que tienen sus propios sistemas de seguridad y prefieren que SELinux esté desactivado, o en sistemas especiales es necesario que esté off para que haya una compatibilidad.
Lo primero es ver en que estado se encuentra SELinux
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 23
Policy from config file: targetedPara activar o desactivarlo solo basta en «tocar» la configuración de SELinux
# vi /etc/selinux/config
SELINUX=disable o enable (según lo necesitemos)También es posible cambiar el estado de SELinux temporalmente a «enforcing» o «permissive» utilizando el comando «setenforce»
Enforcing: Es el modo activo, si algo sucede en el sistema que viola una de las reglas o políticas de SELinux, la bloqueará y registrará en los logs.
Permissive: Este modo no bloqueará ni negará nada, por mas que haya violaciones a SELinux lo único que hará es registrarlo en los logs, permitiendo todo.
Para poner a SELinux en estado «permissive» (mostrar advertencias en lugar de aplicar políticas):
# setenforce 0Para poner a SELinux en estado «enforcing» (aplicar políticas):
# setenforce 1Esto es ideal para realizar pruebas, poner a SELinux temporalmente activado o desactivado. Es temporal porque si reiniciamos nuestro sistema SELinux volverá a la configuración que poseíamos antes de usar e modo «enforcing» o «permissive«.