Linux - selinux 使用方法

时间:2023-02-23 19:09:45

SELinux 是 Security Enhanced Linux 缩写,采用委任式存取控制, 是在进行程序、 文件等细节权限设置依据的一个核心模块。

存取控制: 自主式:当程序要操作文件时,系统根据程序的Owner/Group,对比文件的权限,若通过权限检查,则可操作文件

  • root 具有最高权限,若某程序属于root,则该程序可操作系统的任何文件
  • 使用者可利用程序来变更文件的权限

委任式:可针对特定程序与特定文件来进行权限的控制

  • 即使是root,在使用不同程序时所取到的权限也不一定是root,而是根据该程序的设定
  • 程序也不能任意使用系统文件,因为每个文件也有针对该程序可用的权限设定

查看Selinux状态

/usr/sbin/sestatus 或 /usr/sbin/sestatus -v 
getenforce

临时关闭(不需要重启)

setenforce 0

0 为permissive
1 为enforcing
只能在开机状态下切换enforcing和permissive,而不能从disabled直接切换为enforcing或permissive

永久关闭(需要重启)

Selinux 模式:
enforcing    - 强制模式,执行SELinux安全策略
permissive   - 宽容模式,SELinux打印警告而不是强制执行
disabled     - 关闭,不加载SELinux策略

1、方法一
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

2、方法二
vim /etc/selinux/config
SELINUX=enforcing或者disabled