Linux selinux 비활성화 하기

Linux 서버를 설치하면 기본적으로 selinux는 ON(enforcing) 상태입니다.

enforcing 상태는 보안이 적용된 상태이지만 대체로 여러 프로그램들의 요구사항에 의해

selinux를 비활성화하는 작업이 필요합니다.

 

이번 포스팅에서는 linux 서버에서 selinux를 비활성화하는 방법에 대해 알아보도록 하겠습니다.

---

이 포스팅은 Red Hat Enterprise Linux release 8.5 에서 테스트한 내용을 기반으로 작성하였습니다.

 

 

1. setenforce 명령으로 selinux 끄기

selinux는 enforcing, permissive, disabled 총 3가지의 상태를 설정할 수 있습니다.

enforcing 상태는 selinux가 활성화되었으며, 보안정책에 의한 액션(차단)을 수행하는 상태입니다.

permissive 상태는 selinux가 활성화되었으나, 로그만 기록할 뿐 실제 차단 액션은 발생하지 않습니다.

disabled 상태는 selinux가 비활성화(OFF)되어 아무런 동작을 하지 않는 상태입니다.

 

먼저 selinux를 비활성화하기 전에 sestatus 명령으로 현재의 상태를 확인합니다.

# sestatus

selinux 상태확인

현재 selinux의 상태는 enabled, mode는 enforcing 입니다

 

아래의 명령을 통해 selinux의 enforcing 모드를 종료합니다.

# setenforce 0

setenforce 로 selinux 상태변경

selinux의 상태가 enabled, mode는 permissive로 변경되었습니다.

setenforce 1 명령을 수행하면 enforcing 모드로 다시 변경할 수 있습니다.

 

반응형

 

2. selinux 완전 종료하기

setenforce 명령을 통해 enforcing, permissive 모드간 변경은 가능하지만 disabled 상태로 변경은 불가합니다.

또한 setenforce 명령을 통해 변경된 모드는 Linux가 운영 중인 상태에서만 유지됩니다.

setenforce 0 명령을 통해 enforcing 모드에서 permissive 모드로 변경을 하여도 실제 selinux config 파일의 내용은 enforcing 으로 설정 값이 유지되어 있기 때문에 Linux를 reboot 하게 되면 config 파일에 의해 enforcing 모드로 기동 하게 됩니다.

# cat /etc/sysconfig/selinux

setenforce 0 명령으로 permissive 모드로 변경되었으나 config 파일은 enforcing 상태를 유지함

 

selinux를 완전 종료 및 종료 상태를 linux가 rebooting이 되어도 유지하기 위해선 /etc/sysconfig/selinux 파일에서 SELINUX의 설정 값을 disabled 로 직접 수정하여 변경해야 합니다.

SELINUX=disabled

 

/etc/sysconfig/selinux 파일 수정 후 reboot 을 해야 변경된 설정 값이 적용됩니다.

 

 

이번 포스팅은 여기까지 입니다.

감사합니다.