如何禁用selinux?但是你应该这样做吗?
如果我们已经了解Selinux,并且我们完全了解我们在禁用它的风险,这就是如何做到这一点。
- 打开配置文件/etc/selinux/config或者其符号链接/etc/sysconfig/selinux。
- 将selinux =enforcing 改成selinux =disabled
- 重新启动系统或者使用setEnforce 0立即调用更改。
阅读本文了解有关SELINUX的更详细信息,如何禁用SELinux以及为什么禁用SELinux的原因并不总是一个好主意。
什么是selinux?
Selinux代表安全增强的Linux。
它是一个标签机制,用于从未授权的进程提供高安全性和系统中的其他对象,也是没有授权的进程,不具有或者需要此类访问,以避免滥用。
可以在任何现有的Linux系统中安装selinux。
此用法对所有个人用户都不有用,但服务器系统必不可少。
它的安全刚性可以通过SELinux,root拥有的过程,即使被黑客攻击无法访问未获得访问的文件,也可以理解。
Selinux如何工作?
SELinux强制执行访问策略,后面将在进程需要访问文件或者对象时后面是内核。
在策略下,每个文件或者进程都分配了一个标签。
因此,当具有标签A的进程:答:a:a需要访问文件(带标签b:b:b)都应该匹配(mls配置除了策略后遵循层次结构的配置。
阅读更多关于这里和此处的有关标签的更多信息。
请注意,在服务器中禁用SELinux会对系统带来大量威胁。
确保我们既不是因为方便,也不会在文章中推测内容,但有效的原因。
Disabled Linux的缺点
在禁用selinux时,每个进程都可以访问正常Linux系统中的文件。
滥用权利无法阻止。
黑客过程可以访问其原始目的不需要的秘密文件,并且可能被滥用。
这是一个严重的问题。
如果损害具有root权限的进程,则整个系统都存在风险。
Selinux提供的是更严格的安全性。
了解有关风险的更多信息。
如果是安全功能,为什么要禁用SELinux?
因为经常极端的安全功能都变得痛苦。
Selinux也是如此。
因为它在太严格的情况下,在什么过程中可以访问哪些文件,因为我们将难以使各种服务正常在服务器上正常工作。
例如,如果/var/lib中的文件由root和文件权限000拥有,则需要这些文件的程序无法运行。
此外,当我们正在调试应用程序时,Selinux会成为痛苦。
禁用它可以节省头疼。
提示
在部署应用程序或者调试问题之前将SELinux放入允许SELInux并再次启用它。
允许模式适用于SELInux被禁用但同时,它将像SELinux启用一样登录。
这样我们可以从/var/log /消息中知道,如果启用selinux,则可以使用应用程序日志日志。
检查拒绝邮件。
请注意,系统不受许可模式下的SELinux策略。
在CentOS和其他Linux发行版中禁用SELinux
我们可以使用以下步骤禁用SELinux。
虽然这些命令在CentOS中测试,但它应该在Fedora和Red Hat Linux中完美地工作。
我认为同样的步骤应该适用于其他Linux发行版。
如果没有,请在注释部分告知我们。
首先,使用sestatus命令检查selinux状态。
SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 31
如果启用SELinux并处于实施模式,则可以使用以下步骤禁用它。
第1步:打开配置文件/etc/selinux/config或者其符号链接/etc/sysconfig/selinux
第2步:将来自selinux的行更改为enforcing给selinux = disabled。
步骤3:重新启动系统或者使用setEnforce 0以更改当前会话的SELinux模式,更改将在重新启动时处于活动状态。
注意:要在许可模式下放置selinux,请更改配置文件以具有selinux =允许
如何再次启用SELinux?
如前所述,我们可能希望在调试问题或者部署应用程序后再次启用SELinux。
事实上,暂时禁用Selinux也许是最好的主意。
我们可以通过恢复我们之前完成的更改来重新启用SELinux。
步骤1:再次打开/etc/selinux/confion或者/etc/sysconfig/selinux文件。
第2步:这次将行更改为selinux=enforcing
步骤3:最终,重新启动系统或者使用命令seteNforce 1立即强制执行selinux。
