Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# SELinux Mode pengaturan untuk AL2 023
<a name="selinux-modes"></a>

Secara default, Security Enhanced Linux (SELinux) adalah `enabled` dan diatur ke `permissive` mode untuk AL2 023. Dalam mode permisif, penolakan izin dicatat tetapi tidak diberlakukan. SELinux adalah kumpulan fitur kernel dan utilitas untuk menyediakan arsitektur kontrol akses (MAC) yang kuat, fleksibel, wajib ke subsistem utama kernel. 

SELinux menyediakan mekanisme yang ditingkatkan untuk menegakkan pemisahan informasi berdasarkan persyaratan kerahasiaan dan integritas. Pemisahan informasi ini mengurangi ancaman gangguan dan melewati mekanisme keamanan aplikasi. Ini juga membatasi kerusakan yang dapat disebabkan oleh aplikasi berbahaya atau cacat. 

SELinux mencakup serangkaian contoh file konfigurasi kebijakan keamanan yang dirancang untuk memenuhi tujuan keamanan sehari-hari.

Untuk informasi selengkapnya tentang SELinux fitur dan fungsionalitas, lihat [SELinux Buku Catatan](https://github.com/SELinuxProject/selinux-notebook/blob/main/src/toc.md) dan [Bahasa Kebijakan”](https://github.com/SELinuxProject/selinux-notebook/blob/main/src/policy_languages.md). 

**Topics**
+ [SELinux Status dan mode default untuk AL2 023](default-SELinux-modes-states.md)
+ [Ubah ke `enforcing` mode](enforcing-mode.md)
+ [Opsi untuk menonaktifkan SELinux untuk AL2 023](disable-option-selinux.md)

# SELinux Status dan mode default untuk AL2 023
<a name="default-SELinux-modes-states"></a>

Untuk AL2 023, secara SELinux default adalah `enabled` dan diatur ke `permissive` mode. Dalam `permissive` mode, penolakan izin dicatat tetapi tidak diberlakukan.

**sestatus**Perintah **getenforce** atau memberi tahu Anda SELinux status, kebijakan, dan mode saat ini. 

Dengan status default diatur ke `enabled` dan`permissive`, **getenforce** perintah kembali`permissive`. 

**sestatus**Perintah mengembalikan SELinux status dan SELinux kebijakan saat ini seperti yang ditunjukkan pada contoh berikut: 

```
$ sestatus
SELinux status:                 enabled
  SELinuxfs mount:                /sys/fs/selinux
  SELinux root directory:         /etc/selinux
  Loaded policy name:             targeted
  Current mode:                   permissive
  Mode from config file:          permissive
  Policy MLS status:              enabled
  Policy deny_unknown status:     allowed
  Memory protection checking:     actual (secure)
  Max kernel policy version:      33
```

Saat Anda menjalankan SELinux dalam `permissive` mode, pengguna mungkin memberi label file secara tidak benar. Saat Anda menjalankan SELinux `disabled` status, file tidak diberi label. File yang salah atau tidak berlabel dapat menyebabkan masalah saat Anda mengubah ke `enforcing` mode.

SELinux secara otomatis melabel ulang file untuk menghindari masalah ini. SELinux mencegah masalah pelabelan dengan pelabelan ulang otomatis saat Anda mengubah status menjadi. `enabled`

# Ubah ke `enforcing` mode
<a name="enforcing-mode"></a>

Saat Anda berlari SELinux dalam `enforcing` mode, SELinux utilitas adalah kebijakan `enforcing` yang dikonfigurasi. SELinux mengatur kemampuan aplikasi tertentu dengan mengizinkan atau menolak akses berdasarkan aturan kebijakan.

Untuk menemukan arus SELinux modus, jalankan `getenforce` perintah.

```
getenforce
Permissive
```

## Edit file konfigurasi untuk mengaktifkan mode `enforcing`
<a name="config-file-enforcing"></a>

Untuk mengubah mode ke`enforcing`, gunakan langkah-langkah berikut.

1. Edit `/etc/selinux/config` file untuk mengubah ke `enforcing` mode. `SELINUX`Pengaturan akan terlihat seperti contoh berikut.

   ```
   SELINUX=enforcing
   ```

1. Mulai ulang sistem Anda untuk menyelesaikan perubahan ke `enforcing` mode.

   ```
   $ sudo reboot
   ```

Pada boot berikutnya, SELinux relabels semua file dan direktori dalam sistem. SELinux juga menambahkan SELinux konteks untuk file dan direktori yang dibuat saat SELinux adalah`disabled`.

Setelah beralih ke `enforcing` mode, SELinux mungkin menyangkal beberapa tindakan karena salah atau hilang SELinux aturan kebijakan. Anda dapat melihat tindakan yang SELinux menyangkal dengan perintah berikut.

```
$ sudo ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent
```

## Gunakan cloud-init untuk mengaktifkan `enforcing` mode
<a name="cloud-init-enforcing"></a>

Sebagai alternatif, saat Anda meluncurkan instance Anda, teruskan yang berikut ini `cloud-config` sebagai data pengguna untuk mengaktifkan `enforcing` mode. 

```
#cloud-config
selinux: 
  mode: enforcing
```

Secara default, pengaturan ini menyebabkan instance reboot. Untuk stabilitas yang lebih baik, kami sarankan untuk me-reboot instance Anda. Namun, jika Anda mau, Anda dapat melewati reboot dengan memberikan yang berikut ini`cloud-config`.

```
#cloud-config
selinux:
  mode: enforcing
  selinux_no_reboot: 1
```

# Opsi untuk menonaktifkan SELinux untuk AL2 023
<a name="disable-option-selinux"></a>

Saat Anda menonaktifkan SELinux, SELinux kebijakan tidak dimuat atau diberlakukan dan pesan Access Vector Cache (AVC) tidak dicatat. Anda kehilangan semua manfaat berlari SELinux. 

Alih-alih menonaktifkan SELinux, kami sarankan menggunakan `permissive` mode. Biayanya hanya sedikit lebih mahal untuk dijalankan dalam `permissive` mode daripada menonaktifkan SELinux sepenuhnya. Transisi dari `permissive` mode ke `enforcing` mode membutuhkan penyesuaian konfigurasi yang jauh lebih sedikit daripada beralih kembali ke mode setelah menonaktifkan `enforcing` SELinux. Anda dapat memberi label pada file, dan sistem dapat melacak dan mencatat tindakan yang mungkin ditolak oleh kebijakan aktif. 

## Perubahan SELinux ke `permissive` mode
<a name="change-to-permissive"></a>

Saat Anda berlari SELinux dalam `permissive` mode, SELinux Kebijakan tidak ditegakkan. Dalam `permissive` mode, SELinux mencatat pesan AVC tetapi tidak menolak operasi. Anda dapat menggunakan pesan AVC ini untuk pemecahan masalah, debugging, dan SELinux perbaikan kebijakan. 

Untuk berubah SELinux ke mode permisif, gunakan langkah-langkah berikut.

1. Edit `/etc/selinux/config` file untuk mengubah ke `permissive` mode. `SELINUX`Nilai akan terlihat seperti contoh berikut.

   ```
   SELINUX=permissive
   ```

1. Mulai ulang sistem Anda untuk menyelesaikan perubahan ke `permissive` mode.

   ```
   sudo reboot
   ```

## Nonaktifkan SELinux
<a name="disable-selinux"></a>

Saat Anda menonaktifkan SELinux, SELinux kebijakan tidak dimuat atau diberlakukan, dan pesan AVC tidak dicatat. Anda kehilangan semua manfaat berlari SELinux.

Untuk menonaktifkan SELinux, gunakan langkah-langkah berikut.

1. Pastikan `grubby` paket sudah terpasang.

   ```
   rpm -q grubby
   grubby-version
   ```

1. Konfigurasikan bootloader Anda untuk ditambahkan `selinux=0` ke baris perintah kernel.

   ```
   sudo grubby --update-kernel ALL --args selinux=0
   ```

1. Mulai ulang sistem Anda.

   ```
   sudo reboot
   ```

1. Jalankan `getenforce ` perintah untuk mengonfirmasi bahwa SELinux adalah`Disabled`.

   ```
   $ getenforce
   Disabled
   ```

Untuk informasi lebih lanjut tentang SELinux, lihat [SELinux Notebook ](https://github.com/SELinuxProject/selinux-notebook/blob/main/src/toc.md) dan [SELinux konfigurasi](http://selinuxproject.org/page/Guide/Mode#SELinux_Config).