SELinux 的由来和作用简述

  SELinux 是安全增强型 Linux(Security-Enhanced Linux),它是一个 Linux 内核模块,也是 Linux 的安全子系统。SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。SELinux 的配置十分复杂难懂。所以一些系统管理员会为了避免日后使用出现问题或者配置麻烦都会直接把SELinux关闭。个人认为生产服务器则应该按照具体情况来进行配置,不应该无脑的关闭。

SELinux 的三种工作模式

  SELinux 有三种工作模式,具体如下:

工作模式 说明
enforcing 强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中。
permissive 宽容模式。违反 SELinux 规则的行为只会记录到日志中。一般为调试用。
disabled 禁用模式。关闭 SELinux。

SELinux 的当前状态查看

  查看当前状态的命令是 sestatus -v或者 getenforce

SELinux 临时关闭

  使用 setenforce 0可以把 SELinux 设置成 permissive 模式。使用 setenforce 1可以把 SELinux 设置成 enforcing 模式。这两个命令即时生效,无需重启,适合临时修改状态来安装软件或者执行某些命令。

SELinux 的配置文件修改

  使用 vi /etc/selinux/config 打开 SELinux 的配置文件。找到 SELINUX=enforcing这一行。如果要禁用SELinux,修改成 SELINUX=disabled。如果要设置成permissive,修改成 SELINUX=permissive。最后保存文件,重启后生效。