如何更改SELinux模式

介绍

Security Enhanced Linux是一个Linux安全模块,用于强制或基于角色的访问控制。SELinux默认与CentOS和Fedora打包在一起,可以以三种模式之一运行:禁用允许强制执行

理想情况下,您希望将SELinux保持在强制模式,但有时您可能需要将其设置为许可模式,或者完全禁用它。请注意,禁用状态表示守护程序仍在运行,并且仍在执行自主访问控制的规则,但是没有使用MAC安全策略,也没有记录任何违规。

更改SELinux模式

  • 使用sestatus查看系统上SELinux的当前强制模式。您可以在下面看到SELinux设置为许可模式。
[root@centos ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28
  • 使用setenforce更改为强制模式。这仅适用于当前的运行时会话。如果希望设置在重新启动后仍然存在,则需要编辑SELinux配置文件。
setenforce 0    # Set to permissive mode.
setenforce 1    # Set to enforcing mode.
  • 使用setenforce更改为强制模式,以便重新启动后模式更改依然存在。下面的sed命令作为示例给出,并将从许可模式切换到强制模式。对于不同的模式配置,只需将命令中的两个单词替换为您当前具有的模式和要启用的模式(例如禁用为允许)。
sed -i 's/SELINUX=permissive/SELINUX=enforcing/g' /etc/selinux/config
  • 如果您希望手动编辑文件,它应如下所示:
 # This file controls the state of SELinux on the system.
 # SELINUX= can take one of these three values:
 #     enforcing - SELinux security policy is enforced.
 #     permissive - SELinux prints warnings instead of enforcing.
 #     disabled - No SELinux policy is loaded.
 SELINUX=enforcing
 # SELINUXTYPE= can take one of three two values:
 #     targeted - Targeted processes are protected,
 #     minimum - Modification of targeted policy. Only selected processes are protected.
 #     mls - Multi Level Security protection.
 SELINUXTYPE=targeted
  • 重新启动你的腾讯云CVM服务器。在启动过程中,SELinux可能需要运行文件系统的重新标记。它会自动处理,并在完成后重启系统。如果您没有启用Lassie,腾讯云CVM服务器将关闭,您需要在腾讯云CVM服务器中手动重启。
  • 当您的腾讯云CVM服务器引导备份时,请登录并验证SELinux现在是否以新的强制模式运行。再跑一次sestatus。输出应显示您处于‘使用setenforce更改为强制模式’步骤和‘使用setenforce更改为强制模式步骤’中设置的模式。
[root@centos ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      28

更多信息

有关此主题的其他信息,您可能需要参考以下资源。虽然提供这些是希望它们有用,但请注意,我们无法保证外部托管材料的准确性或及时性。

安全增强Linux用户指南,Red Hat

SELinux,CentOS Wiki

更多Linux教程请前往腾讯云+社区学习更多知识。


参考文献:《How to Change SELinux Modes》

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏我是攻城师

如何监控你的Hadoop+Hbase集群?

38240
来自专栏枕边书

Linux - 请允许我静静地后台运行

前言 常在 linux 下玩耍的开发者肯定会经常遇到需要对进程调度的情况,在 windows 中点击 最小化 去干别的就 OK 了,那么在 linux 下怎么办...

26150
来自专栏北京马哥教育

Redis 集群教程

本文档是Redis集群的入门教程, 从用户的角度介绍了设置、测试和操作集群的方法。 本教程不包含晦涩难懂的分布式概念, 也没有像Redis 集群规范那样包含Re...

31170
来自专栏石奈子的Java之路

原 Intellij IDEA必要条件

16650
来自专栏杂烩

otter安装 原

    https://github.com/alibaba/otter/wiki/QuickStart

12030
来自专栏Web项目聚集地

MyBatis-逆向工程「Generator使用指南」

当你利用搜索引擎搜索Maven会出来很多名词:对象模型、标准集合、依赖管理系统这是啥啊?差不多得你会用了Maven才会理解这些名称吧,我找到了一个博主的博客

17420
来自专栏为数不多的Android技巧

react-native环境搭建的正确姿势

上个月Facebook开源了Android版的react-native,react-native为何物就不多介绍,个人认为虽然取代不了native,但是确实有可...

13510
来自专栏九彩拼盘的叨叨叨

CanIUse 命令行工具介绍

注意:如果使用的是Windows系统,需要在Git的命令行执行上述命令。否则会报Git Not Found的错。

7010
来自专栏懒人开发

bpkg工具

最近接手一个项目 本来是jenkinsfile相关, 但是由于这里很多实现都是用的shell 并且还是用的 bpkg 做的管理, 再在bpkg基础上, 写了...

18930
来自专栏FreeBuf

通过SSTI漏洞获取服务器远程Shell

本文我将为大家演示,如何利用服务器端模板注入(SSTI)漏洞,来获取应用托管服务器上的shell。

34820

扫码关注云+社区

领取腾讯云代金券