全部产品
Search

搜索本产品

    Elastic Compute Service:Aktifkan atau nonaktifkan SELinux

    文档中心

    Elastic Compute Service:Aktifkan atau nonaktifkan SELinux

    更新时间:Jul 02, 2025

    Security-enhanced Linux (SELinux) adalah fitur kernel Linux yang menyediakan mekanisme perlindungan berbasis kebijakan keamanan untuk kontrol akses. Kami menyarankan Anda mengaktifkan SELinux guna membatasi izin proses, sehingga melindungi sistem dari ancaman program jahat. Namun, kontrol akses ketat dari SELinux mungkin mencegah beberapa aplikasi atau layanan tepercaya untuk berjalan sebagaimana diharapkan. Dalam skenario pengembangan atau debugging, Anda dapat sementara menonaktifkan SELinux.

    Catatan

    Untuk informasi lebih lanjut tentang SELinux, lihat Apa itu SELinux?.

    Pertimbangan

    Topik ini menggunakan gambar berikut untuk menjelaskan cara mengaktifkan dan menonaktifkan SELinux:

    • Alibaba Cloud Linux 3.2104 LTS 64-bit

    • CentOS 7.6 64-bit

    Catatan

    Jika Anda menggunakan distribusi Linux lainnya, seperti Fedora, Red Hat Enterprise Linux (RHEL) 9, Debian, atau Ubuntu, lakukan operasi yang dijelaskan dalam dokumentasi resmi atau panduan komunitas yang sesuai. Metode dan alat yang digunakan untuk mengaktifkan dan menonaktifkan SELinux bervariasi berdasarkan distribusi Linux Anda. Untuk informasi tentang cara mengonfigurasi SELinux pada versi tertentu dari distribusi Linux, kunjungi situs web resmi distribusi tersebut atau konsultasikan dengan forum komunitas.

    Aktifkan SELinux

    1. Hubungkan ke instance Elastic Compute Service (ECS) Linux.

      Untuk informasi lebih lanjut, lihat Hubungkan ke instance Linux menggunakan kata sandi atau kunci.

    2. Jalankan perintah berikut untuk memeriksa status SELinux:

      sestatus

      Jika disabled dikembalikan untuk parameter SELinux status, SELinux dinonaktifkan pada instance.image.png

    3. Jalankan perintah berikut pada instance untuk membuka file config SELinux:

      sudo vi /etc/selinux/config

    4. Temukan baris yang berisi SELINUX=disabled dan tekan tombol I untuk masuk ke mode Sisipkan.

      Tabel berikut menjelaskan mode di mana Anda dapat mengaktifkan SELinux. Pilih mode berdasarkan kebutuhan bisnis Anda.

      Mode

      Nilai

      Deskripsi

      Enforcing

      SELINUX=enforcing

      Semua permintaan yang melanggar kebijakan keamanan SELinux ditolak.

      Permissive

      SELINUX=permissive

      Permintaan yang melanggar kebijakan keamanan SELinux tidak ditolak, tetapi dicatat dalam log.

      SELINUX状态

    5. Tekan tombol Esc untuk keluar dari mode Sisipkan, masukkan :wq, lalu tekan tombol Enter untuk menyimpan dan menutup file.

      Penting

      Setelah memodifikasi file config, Anda harus me-restart instance agar perubahan diterapkan. Namun, jika Anda me-restart instance segera setelah modifikasi, sistem mungkin gagal memulai. Untuk mencegah masalah ini, buat file .autorelabel sebelum me-restart instance.

    6. Jalankan perintah berikut untuk membuat file .autorelabel di direktori root:

      sudo touch /.autorelabel

    7. Restart instance ECS. Untuk informasi lebih lanjut, lihat Restart sebuah instance.

      Catatan

      Ketika instance ECS sedang me-restart, SELinux secara otomatis memberi label ulang semua file sistem. Operasi pemberian label ulang adalah proses pemindaian menyeluruh. Waktu yang dibutuhkan untuk memberi label ulang semua file sistem bervariasi berdasarkan jumlah dan ukuran file sistem. Kami menyarankan Anda untuk tidak melakukan operasi apa pun pada instance setelah instance mulai me-restart hingga operasi pemberian label ulang selesai. Ini memastikan kebenaran pengaturan keamanan file.

    Nonaktifkan SELinux

    Penting

    Menonaktifkan SELinux membuat sistem Anda lebih rentan terhadap serangan. Oleh karena itu, kami menyarankan Anda untuk hati-hati mengevaluasi risiko potensial dan memastikan ada langkah-langkah keamanan efektif lainnya yang melindungi sistem Anda.

    1. Hubungkan ke instance ECS Linux.

      Untuk informasi lebih lanjut, lihat Hubungkan ke instance Linux menggunakan kata sandi atau kunci.

    2. Jalankan perintah berikut untuk memeriksa status SELinux:

      sestatus

      Jika enabled dikembalikan untuk parameter SELinux status, SELinux diaktifkan pada instance.更多SELinux信息

    3. Secara sementara atau permanen nonaktifkan SELinux.

      Catatan

      Menonaktifkan SELinux secara sementara hanya memengaruhi sesi saat ini. Setelah instance di-restart, status asli SELinux dipulihkan. Anda dapat memodifikasi file konfigurasi untuk menonaktifkan SELinux secara permanen. Dengan cara ini, SELinux tetap dinonaktifkan setelah instance di-restart.

      Secara sementara nonaktifkan SELinux

      Jalankan perintah berikut untuk sementara mengubah mode SELinux dari enforcing menjadi permissive:

      sudo setenforce 0

      Secara permanen nonaktifkan SELinux

      1. Jalankan perintah berikut untuk membuka file config SELinux:

        sudo vi /etc/selinux/config

      2. Temukan baris yang berisi SELINUX=enforcing atau SELINUX=permissive, tekan tombol I untuk masuk ke mode Sisipkan, lalu ubah baris tersebut menjadi SELINUX=disabled.更改SELinux状态

      3. Tekan tombol Esc untuk keluar dari mode Sisipkan, masukkan :wq, lalu tekan tombol Enter untuk menyimpan dan menutup file.

      4. Restart instance ECS.

        Untuk informasi lebih lanjut, lihat Restart sebuah instance.

      5. Jalankan perintah berikut untuk memeriksa status SELinux:

        sestatus

        Jika disabled dikembalikan untuk parameter SELinux status, SELinux dinonaktifkan secara permanen.

        image.png

    Referensi

    Dalam mode permissive, Anda dapat meninjau log untuk menemukan peristiwa yang melanggar kebijakan keamanan SELinux dan memodifikasi aturan kebijakan SELinux untuk mencegah permintaan yang secara tidak sengaja diblokir setelah mode SELinux diubah menjadi enforcing. Untuk informasi lebih lanjut, lihat Lihat log sistem dan tangkapan layar.