SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux 历史上最杰出的新安全子系统。NSA 是在 Linux 社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。
SELinux 是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由 NSA 编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了 SELinux 的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp 目录下,那么在 DAC 情况下没人能阻止他。SELinux 提供了比传统的 UNIX 权限更好的访问控制。
但是,很多服务都有 SELinux 的限制,比如常见的 /tmp 文件夹无访问权限,改起来颇为麻烦,个人使用还是关闭 SELinux,省心。
查看 SELinux 状态
执行命令:getenforce
如上图显示Enforcing,说明 SELinux 处于开启状态。
临时关闭
##设置SELinux 成为permissive模式
##setenforce 1 设置SELinux 成为enforcing模式
setenforce 0
永久关闭
直接修改配置文件
执行命令:vi /etc/selinux/config
将SELINUX=enforcing改为SELINUX=disabled
然后执行命令reboot重启系统生效
再次查看,状态已变为disabled
但是,很多服务都有 SELinux 的限制,比如常见的 /tmp 文件夹无访问权限,改起来颇为麻烦,个人使用还是关闭 SELinux,省心。
查看 SELinux 状态
执行命令:
getenforce如上图显示
Enforcing,说明 SELinux 处于开启状态。临时关闭
永久关闭
直接修改配置文件
执行命令:
vi /etc/selinux/config将
SELINUX=enforcing改为SELINUX=disabled然后执行命令
reboot重启系统生效再次查看,状态已变为
disabled