View a markdown version of this page

Opção para desabilitar o SELinux para o AL2023 - Amazon Linux 2023
Mudar o SELinux para o modo permissiveDesabilitar SELinux

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Opção para desabilitar o SELinux para o AL2023

Quando você desabilita o SELinux, a política do SELinux não é carregada nem imposta e as mensagens do Access Vector Cache (AVC) não são registradas em log. Você perde todos os benefícios de executar o SELinux.

Em vez de desabilitar o SELinux, recomendamos usar o modo permissive. Custa apenas um pouco mais executar no modo permissive do que desabilitar completamente o SELinux. A transição do modo permissive para o modo enforcing requer muito menos ajustes de configuração do que a transição de volta ao modo enforcing após desabilitar o SELinux. Você pode rotular arquivos e o sistema pode rastrear e registrar ações que a política ativa possa ter negado.

Mudar o SELinux para o modo permissive

Quando você executa o SELinux no modo permissive, a política do SELinux não é imposta. No modo permissive, o SELinux registra as mensagens de AVC em log, mas não nega as operações. Você pode usar essas mensagens de AVC para solucionar problemas, depurar e aprimorar a política do SELinux.

Para mudar o SELinux para o modo permissivo, siga as etapas a seguir.

  1. Edite o arquivo permissive para mudar para o modo /etc/selinux/config. O valor de SELINUX deve ser como o exemplo a seguir.

    SELINUX=permissive

  2. Reinicie o sistema para concluir a mudança para o modo permissive.

    sudo reboot

Desabilitar SELinux

Ao desabilitar o SELinux, a política do SELinux não é carregada nem imposta, e as mensagens de AVC não são registradas em log. Você perde todos os benefícios de executar o SELinux.

Para desabilitar o SELinux, siga as etapas a seguir.

  1. Garanta que o pacote grubby esteja instalado.

    rpm -q grubby
grubby-version

  2. Configure seu bootloader para adicionar selinux=0 à linha de comando do kernel.

    sudo grubby --update-kernel ALL --args selinux=0

  3. Reinicie o sistema.

    sudo reboot

  4. Execute o comando getenforce para confirmar se o SELinux é Disabled.

    $ getenforce
Disabled

Para obter mais informações sobre o SELinux, consulte SELinux Notebook e SELinux configuration.