关闭selinux而不需重启的方法
博客专区 > Jerry-hu 的博客 > 博客详情
关闭selinux而不需重启的方法
Jerry-hu 发表于4年前
关闭selinux而不需重启的方法
  • 发表于 4年前
  • 阅读 3550
  • 收藏 0
  • 点赞 0
  • 评论 0

标题:腾讯云 新注册用户域名抢购1元起>>>   

摘要: SELinux简介 SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)对于强 制性访问控制的实现,是linux上最查出的新安全子系统。

SELinux简介

SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)对于强

制性访问控制的实现,是linux上最查出的新安全子系统。

应用SELinux后,可以减轻恶意攻击或恶意软件带来的灾难,并提供对机密性和完整性有很高

要求的信息很高的安全保障。 

SELinux 是安全加强linux (security enhanced linux).

一个进程能否访问一个文件取决于发起进程的用户和文件的权限。

例如:srvd进程想访问/var/www/html/*中的文件,我们创建的用户aaron此时是否能够访

问/var/www/html/*的文件取决于aaron的权限,我们创建的文件的默认权限是644,目录权限是

755。aaron可以访问fstab    passwd部件,如果黑客劫持了srvd进程,就可以访问一些重要文件

了,这是一件非常可怕的事。

  再比如用户aa创建了一个文件,想让用户bb访问,怎么办呢?改变其他用户的权限?那么其它

用户也能访问,这并不是我们想要的。在现有模型下,我们很难实现单个用户对单个文件的权限限

制,但是selinux就可以实现这个问题。

SElinux定义了哪些用户可以访问那些文件,它提供了一系列机制,来限制用户权限的访问!

通过selinux配置文件来启用和停用selinux的方法:

Redhat系统,selinux的配置文件为:/etc/sysconfig/selinux

配置文件中提供了下列两个参数:     selinux       selinuxtype

1、selinux启用模式介绍:

selinux=status       指定是否要启用selinux子系统。

status有如下三种状态:

enforcing     启用强制性的selinux系统,当违反selinux原则时,强制禁止读取。

permissive    启用宽容的selinux系统,当违反selinux原则时,仍允许读取但会显示警告信息。

disabled      停用selinux子系统。

如下示:

selinux=disabled

更改后需要重启linux系统才能生效!!


2、selinux使用policy介绍

selinuxtype=policy              

指定要使用的selinux安全原则,其中policy为selinux安全原则名称。

说明如下:

targeted:对部分网络应用进行保护

strict:完整保护受限模式

mls:   较新的保护模式,目前仅处于理论阶段。


3、selinux用于grub的参数

(这此参数的作用是向kernel传入参数指定selinux相关功能)

手动切换selinux模式不需要重新开机,一旦成功地修改执行模式,selinux会立即改变执行的方法!!

用于grub的选项参数如下所示:

selinux=[0|1]

用于设定内核是否支持selinux

1、检查当前模式

方法一、

[root@bogon ~]# sestatus

SELinux status:                 enabled

SELinuxfs mount:                /selinux

Current mode:                   enforcing

Mode from config file:          disabled

Policy version:                 21

Policy from config file:        targeted

方法二、

[root@bogon ~]# getenforce

Enforcing                               得知当前我的linux以强制模式执行selinux子系统!

2、修改selinux执行模式

setenforce [value]

其中value可以使用以下两种模式

enforcing或者1:修改成强制模式

permissive或者0:修改成允许模式

如:

[root@bogon ~]# setenforce 0

[root@bogon ~]# getenforce

Permissive


共有 人打赏支持
粉丝 6
博文 18
码字总数 5027
×
Jerry-hu
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: