SELinux 是 Security Enhanced Linux 缩写,采用委任式存取控制, 是在进行程序、 文件等细节权限设置依据的一个核心模块。
存取控制: 自主式:当程序要操作文件时,系统根据程序的Owner/Group,对比文件的权限,若通过权限检查,则可操作文件
- root 具有最高权限,若某程序属于root,则该程序可操作系统的任何文件
- 使用者可利用程序来变更文件的权限
委任式:可针对特定程序与特定文件来进行权限的控制
- 即使是root,在使用不同程序时所取到的权限也不一定是root,而是根据该程序的设定
- 程序也不能任意使用系统文件,因为每个文件也有针对该程序可用的权限设定
查看Selinux状态
/usr/sbin/sestatus 或 /usr/sbin/sestatus -v
getenforce
临时关闭(不需要重启)
setenforce 0
0 为permissive
1 为enforcing
只能在开机状态下切换enforcing和permissive,而不能从disabled直接切换为enforcing或permissive
永久关闭(需要重启)
Selinux 模式:
enforcing - 强制模式,执行SELinux安全策略
permissive - 宽容模式,SELinux打印警告而不是强制执行
disabled - 关闭,不加载SELinux策略
1、方法一
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config
2、方法二
vim /etc/selinux/config
SELINUX=enforcing或者disabled