文档章节

关闭selinux而不需重启的方法

Jerry-hu
 Jerry-hu
发布于 2014/06/26 17:43
字数 850
阅读 3880
收藏 0
点赞 0
评论 0

SELinux简介

SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)对于强

制性访问控制的实现,是linux上最查出的新安全子系统。

应用SELinux后,可以减轻恶意攻击或恶意软件带来的灾难,并提供对机密性和完整性有很高

要求的信息很高的安全保障。 

SELinux 是安全加强linux (security enhanced linux).

一个进程能否访问一个文件取决于发起进程的用户和文件的权限。

例如:srvd进程想访问/var/www/html/*中的文件,我们创建的用户aaron此时是否能够访

问/var/www/html/*的文件取决于aaron的权限,我们创建的文件的默认权限是644,目录权限是

755。aaron可以访问fstab    passwd部件,如果黑客劫持了srvd进程,就可以访问一些重要文件

了,这是一件非常可怕的事。

  再比如用户aa创建了一个文件,想让用户bb访问,怎么办呢?改变其他用户的权限?那么其它

用户也能访问,这并不是我们想要的。在现有模型下,我们很难实现单个用户对单个文件的权限限

制,但是selinux就可以实现这个问题。

SElinux定义了哪些用户可以访问那些文件,它提供了一系列机制,来限制用户权限的访问!

通过selinux配置文件来启用和停用selinux的方法:

Redhat系统,selinux的配置文件为:/etc/sysconfig/selinux

配置文件中提供了下列两个参数:     selinux       selinuxtype

1、selinux启用模式介绍:

selinux=status       指定是否要启用selinux子系统。

status有如下三种状态:

enforcing     启用强制性的selinux系统,当违反selinux原则时,强制禁止读取。

permissive    启用宽容的selinux系统,当违反selinux原则时,仍允许读取但会显示警告信息。

disabled      停用selinux子系统。

如下示:

selinux=disabled

更改后需要重启linux系统才能生效!!


2、selinux使用policy介绍

selinuxtype=policy              

指定要使用的selinux安全原则,其中policy为selinux安全原则名称。

说明如下:

targeted:对部分网络应用进行保护

strict:完整保护受限模式

mls:   较新的保护模式,目前仅处于理论阶段。


3、selinux用于grub的参数

(这此参数的作用是向kernel传入参数指定selinux相关功能)

手动切换selinux模式不需要重新开机,一旦成功地修改执行模式,selinux会立即改变执行的方法!!

用于grub的选项参数如下所示:

selinux=[0|1]

用于设定内核是否支持selinux

1、检查当前模式

方法一、

[root@bogon ~]# sestatus

SELinux status:                 enabled

SELinuxfs mount:                /selinux

Current mode:                   enforcing

Mode from config file:          disabled

Policy version:                 21

Policy from config file:        targeted

方法二、

[root@bogon ~]# getenforce

Enforcing                               得知当前我的linux以强制模式执行selinux子系统!

2、修改selinux执行模式

setenforce [value]

其中value可以使用以下两种模式

enforcing或者1:修改成强制模式

permissive或者0:修改成允许模式

如:

[root@bogon ~]# setenforce 0

[root@bogon ~]# getenforce

Permissive


本文转载自:http://blog.itechol.com/space-33-do-blog-id-5088.html

共有 人打赏支持
Jerry-hu
粉丝 8
博文 18
码字总数 5027
作品 0
上海
后端工程师
zabbix-agent端安装

第一、导入源 用官方提供的源来安装 sudo rpm-ivhhttp://repo.zabbix.com/zabbix/3.0/rhel/7/x86_64/zabbix-release-3.0-1.el7.noarch.rpm 第二、安装zabbix包客户端 sudo yuminstall zabbix......

cjune ⋅ 01/07 ⋅ 0

CentOS7.4中Docker以rw方式挂载volume报Permission denied的解决思路

一、问题背景 今天在CentOS7.4.1708上实践Docker挂载volume,一切按照正常流程进行操作,无论是创建目录、创建文件、还是查看、编辑主机上创建好的文件,都报“Permission denied”,具体如下...

滇池孤鸿 ⋅ 06/07 ⋅ 0

启动MySql提示:The server quit without updating PID file(…)失败

启动MySql提示:The server quit without updating PID file(…)失败. 1.可能是/usr/local/mysql/data/rekfan.pid文件没有写的权限 解决方法 :给予权限,执行 “chown -R mysql:mysql /var/d...

叶瑾 ⋅ 05/22 ⋅ 0

Linux系统安装网络配置及远程连接知识点小结

基础知识课后题 远程连接Linux服务器,需要Linux服务器开启sshd服务,那么sshd服务默认监听哪个端口?这个端口是否可以自定义呢 ?如果可以,如何自定义呢? 2.常用的远程连接Linux的终端工具...

蛋黄哥 ⋅ 2017/08/24 ⋅ 0

centos7.2用rpm包安装zabbix-3.2.4

centos7.2 安装 zabbix3.2.x 查看系统版本 cat /etc/redhat-release CentOS Linux release 7.2.1511 (Core) 查看内核版本 uname -r 3.10.0-327.el7.x86_64 关闭selinux sed -i "s/SELINUX=e......

Allen_Jol ⋅ 04/27 ⋅ 0

Centos6.8安装配置samba文件共享

一、关闭SELinux 1.1 查看SELinux状态命令:getenforce,enabled表示启用selinux防火墙,enforcing 表示强。 1.2 修改selinux配置文件:vim /etc/selinux/config,将SELINUX=enforcing改为S...

cnBrave ⋅ 06/11 ⋅ 0

selinux配置disable后系统无法启动

故障现象:selinux 配置 disabled 后开机卡在滚动条无法进系统 解决思路:单用户模式下修改修改selinux 配置 vim /etc/selinux/config This file controls the state of SELinux on the sys...

z89177519 ⋅ 06/14 ⋅ 0

搭建本地yum源,离线安装openstack

搭建本地openstack yum源 修改配置文件 /etc/selinux/config 安装单节点openstack 修改repo文件(下面192.168.126.128要换成yum服务的ip) 关闭防火墙,selinux,NetworkManager 修改配置文件...

yjf147369 ⋅ 04/23 ⋅ 0

学习hadoop(五) 伪分布式安装hadoop

伪分布式安装: 1 关闭防火墙和selinux 直接关闭防火墙: systemctl stop firewalld.service 禁止firewall开机启动 : systemctl disable firewalld.service 查看防火墙状态:firewall-cmd ...

qq_35573689 ⋅ 05/30 ⋅ 0

linux关于关闭防火墙和selinux的操作

在初学linux的时候,有防火墙和selinux时,我们对于一些操作不是很方便;比如DNS的远程访问和httpd程序的操作;所以我们需要一些操作来关闭防火墙和selinux; SElinux配置: ~]# getenforce...

刘景宇 ⋅ 04/18 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

如何解决s权限位引发postfix及crontab异常

一、问题现象 业务反馈某台应用服务器,普通用户使用mutt程序发送邮件时,提示“postdrop warning: mail_queue_enter: create file maildrop/713410.6065: Permission denied”,而且普通用法...

问题终结者 ⋅ 31分钟前 ⋅ 0

Unable to load database on disk

由于磁盘空间满了以后,导致zookeeper异常退出,清理磁盘空间后,zk启动报错,信息如下: 2018-06-25 17:18:46,904 INFO org.apache.zookeeper.server.quorum.QuorumPeerConfig: Reading co...

刀锋 ⋅ 50分钟前 ⋅ 0

css3 box-sizing:border-box 实现div一行多列

<!DOCTYPE html><html><head><style> div.container{ background:green; padding:10px 10px;}div.box{box-sizing:border-box;-moz-box-sizing:border-box; /* Fir......

qimh ⋅ 55分钟前 ⋅ 0

Homebrew简介和基本使用

一、Homebrew是什么 Homebrew是一款Mac OS平台下的软件包管理工具,拥有安装、卸载、更新、查看、搜索等很多实用的功能。简单的一条指令,就可以实现包管理,而不用你关心各种依赖和文件路径...

说回答 ⋅ 今天 ⋅ 0

文件压缩和打包zip、tar

第六章 文件压缩和打包 6.5 zip压缩工具 zip命令可以用来解压缩文件,或者对文件进行打包操作。zip是个使用广泛的压缩程序,文件经它压缩后会另外产生具有“.zip”扩展名的压缩文件。 注意:...

弓正 ⋅ 今天 ⋅ 0

vuex

一、状态对象如何赋值给内部对象。三种方式: 1、使用computed赋值,一定要写this,不然找不到$store。 computed:{ count(){ return this.$store.state.count; }} 2、通...

大美琴 ⋅ 今天 ⋅ 0

javaScript 设计模式

1、构造函数模式 ` /** 构造一个动物的函数 */ function Animal(name, color){ this.name = name; this.color = color; this.getName = function(){ return this.name; } } // 实例一个对象 ......

fangPeng_ ⋅ 今天 ⋅ 0

日常嘚瑟:TeamCity构建中解压和打包tar

要弄一个新的构建,很简单,从两个构建的tar格式Artifact中分别取一部分,重新打一个tar。 所以,我去写个脚本用curl下载两个依赖的Artifact,然后解压移动重新打个tar? 开什么玩笑,我的技...

谷永权 ⋅ 今天 ⋅ 0

Istio官方文档中文版

阅读目录 Istio官方文档中文版 回到目录 Istio官方文档中文版 http://istio.doczh.cn/ https://istio.io/docs/concepts/what-is-istio/goals.html 为什么要使用Istio? 在从单体应用程序向分...

xiaomin0322 ⋅ 今天 ⋅ 0

CentOS 7 Omnibus 包安装 GitLab 并汉化记录

系统环境 操作系统:CentOS 7GitLab:gitlab-ce-10.8.4-ce.0.el7.x86_64.rpm 下载Omnibus安装包 使用国内镜像加速下载地址 # wget https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el......

admin_qing ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部