配置文件
SELinux 配置文件 /etc/selinux/config :
# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
2. 编辑内核启动选项
编辑内核引导行并将 enforcing=0 添加到内核引导选项。
例如:
title Red Hat Enterprise Linux AS (2.6.9-42.ELsmp) root (hd0,0) kernel /vmlinuz-2.6.9-42.ELsmp ro root=LABEL=/ rhgb quiet enforcing=0 initrd /initrd-2.6.9-42.ELsmp.img
重新启动服务器。
# shutdown -r now
SELinux 模式
SELinux 为系统中的资源提供了另外的安全层。
与 DAC(自由访问控制)相反,它提供 MAC(强制访问控制)。
在我们深入设置 SELinux 模式之前,让我们看看有哪些不同的 SELinux 操作模式以及它们是如何工作的。
SELinux 可以在以下 3 种模式中的任何一种下运行:
Enforced :阻止违反策略的操作,并在审核日志中记录相应的事件。
Permissive : 违反政策的行为只记录在审计日志中。
Disabled :SELinux 完全禁用。
改变模式时强制重启
我们可以在更改 selinux 模式时强制重启:
# setsebool secure_mode_policyload on
on it road.com
切换 SELinux 模式(永久)[重启需要]
可以使用以下任一方法永久设置 SELinux 模式:
- 编辑/etc/selinux/config文件
- 编辑内核启动选项
切换 SELinux 模式(暂时)
要临时在 SELinux 模式之间切换,我们可以使用 setenforce 命令,如下所示:
# setenforce [ Enforcing | Permissive | 1 | 0 ]
0 -> Permissive 宽容模式
1 -> Enforcing 强制执行
验证 SELinux 的当前模式:
# getenforce Enforcing
或者我们也可以使用 sestatus 命令获取详细状态:
# sestatus SELinux status: enabled SELinuxfs mount: /selinux --> virtual FS similar to /proc Current mode: enforcing --> current mode of operation Mode from config file: permissive --> mode set in the /etc/sysconfig/selinux file. Policy version: 24 Policy from config file: targeted
1.编辑/etc/selinux/config文件
要将 SELinux 设置为 permissive,请将文件 /etc/selinux/config 中的以下行设置为:
vi /etc/selinux/config .... SELINUX=permissive ...
类似地,可以通过在同一行中设置模式来将模式设置为强制/禁用。
日期:2020-09-17 00:14:48 来源:oir作者:oir