SELinux auf Rocky Linux 9 deaktivieren – Anleitung
Security-Enhanced Linux (SELinux) ist ein System für verpflichtende Zugriffskontrolle (MAC), das unter Linux-Plattformen strenge Sicherheitsrichtlinien durchsetzt. Unter Rocky Linux 9 ist SELinux standardmäßig aktiviert, um unautorisierte Aktionen im System zu unterbinden. Manche Anwendungen können unter diesen Einschränkungen jedoch nicht wie gewünscht arbeiten – in solchen Fällen kann es notwendig sein, SELinux vorübergehend oder dauerhaft zu deaktivieren.
Obwohl empfohlen wird, SELinux in produktiven Umgebungen aktiv zu lassen, kann es bei Kompatibilitätsproblemen erforderlich sein, es auszuschalten. Diese Anleitung erklärt, wie du den aktuellen Status überprüfst und SELinux unter Rocky Linux 8 und 9 temporär oder dauerhaft deaktivierst.
Betriebsmodi von SELinux
SELinux bietet drei Betriebsmodi:
- Enforcing: Richtlinien werden strikt durchgesetzt. Für Produktivumgebungen empfohlen.
- Permissive: Verstöße gegen Richtlinien werden nur protokolliert, aber nicht blockiert. Nützlich zum Testen und Debuggen.
- Disabled: SELinux ist vollständig deaktiviert. Nicht empfohlen, da alle Schutzmechanismen entfallen.
Hinweis: Um dein System bestmöglich zu schützen, lasse SELinux im Modus „Enforcing“. Falls deine Anwendung Probleme verursacht, wähle zunächst den „Permissive“-Modus, bevor du es komplett deaktivierst.
Voraussetzungen
Du benötigst:
- Ein System mit Rocky Linux 9
- Einen Benutzer mit sudo-Rechten (kein Root-Zugang notwendig)
SELinux-Status überprüfen
Unter Rocky Linux 9 ist SELinux standardmäßig aktiv. Mit folgendem Befehl kannst du den Status prüfen:
$ sudo sestatus
Die Ausgabe enthält typischerweise:
SELinux status: enabledCurrent mode: enforcing
Für eine reduzierte Ausgabe mit nur Status und Modus:
$ sudo sestatus | grep 'SELinux status\|Current mode'
SELinux temporär deaktivieren
Mit folgendem Befehl schaltest du SELinux bis zum nächsten Neustart aus:
$ sudo setenforce 0
Überprüfe den neuen Status mit:
$ sudo sestatus | grep 'SELinux status\|Current mode'
Ausgabe:
SELinux status: enabledCurrent mode: permissive
Diese Änderung bleibt nur bis zum Neustart bestehen. Nach einem Reboot kehrt SELinux in den „Enforcing“-Modus zurück.
SELinux dauerhaft deaktivieren
Nur dann dauerhaft deaktivieren, wenn andere Sicherheitsmaßnahmen wie eine Firewall aktiv sind. Vorgehensweise:
- Konfigurationsdatei mit Editor öffnen:
$ sudo nano /etc/selinux/config
2. Zeile mit SELINUX= finden und auf folgenden Wert setzen:
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
3. Datei speichern und schließen.
4. System neu starten:
$ sudo reboot
5. Nach dem Reboot prüfen, ob SELinux deaktiviert ist:
$ sudo sestatus
Ausgabe sollte enthalten:
SELinux status: disabled
Damit ist SELinux vollständig deaktiviert – auch nach einem Neustart bleibt diese Einstellung bestehen, bis du sie erneut änderst.
Deaktivierung auf Kernel-Ebene prüfen
Um sicherzustellen, dass SELinux auch auf Kernel-Ebene deaktiviert ist:
$ cat /proc/cmdline | grep selinux
Hinweis: Sobald SELinux dauerhaft deaktiviert ist, werden keinerlei Zugriffskontrollen mehr durchgesetzt. Um SELinux wieder zu aktivieren, bearbeite die Konfigurationsdatei erneut und starte das System neu.
Fazit
Du hast nun erfolgreich SELinux unter Rocky Linux 9 sowohl temporär als auch dauerhaft deaktiviert. Bevor du SELinux vollständig abschaltest, nutze zunächst den „Permissive“-Modus, um wichtige Protokolle weiterhin zu erfassen. Durch das Deaktivieren von SELinux gehen kritische Sicherheitseinstellungen verloren – stelle daher sicher, dass andere Schutzmechanismen aktiv sind. Weitere Informationen findest du über den Befehl man selinux.
