SELinux是Linux核心的安全子系統,通過嚴格的存取控制機制增強系統安全性。一般情況下,建議開啟SELinux來限制進程的許可權,防止惡意程式通過提權等方式對系統進行攻擊;然而,由於SELinux的嚴格存取控制機制,可能會導致一些應用程式或服務無法啟動,因此在特定情況下(如開發、調試等),需暫時關閉SELinux。
關於SElinux的工作原理和詳細說明,請參見什麼是SELinux?。
開啟SELinux
本教程以CentOS 7.6 64位作業系統為例,介紹如何開啟SELinux。
遠端連線ECS執行個體。
關於串連方式的介紹,請參見串連方式概述。
運行以下命令,查看SELinux狀態。
sestatus
若系統返回的參數資訊
SELinux status
顯示為disabled
,則表示SELinux已關閉。在ECS執行個體上運行以下命令,編輯SELinux的
config
檔案。sudo vi /etc/selinux/config
找到
SELINUX=disabled
欄位,按i
進入編輯模式,通過修改該參數來開啟SELinux。您可以根據實際需求自行調整參數來選擇啟用SELinux的其中一種模式 :
強制執行模式
SELINUX=enforcing
:表示所有違反安全性原則的行為都將被禁止。寬容模式
SELINUX=permissive
:表示所有違反安全性原則的行為不被禁止,但會在日誌中做記錄。
修改完成後,按下鍵盤
Esc
鍵,執行命令:wq
,儲存並退出檔案。重要完成修改
config
檔案後,需要重啟ECS執行個體使配置生效,但直接重啟執行個體將會出現系統無法啟動的錯誤。因此,在重啟之前需要在根目錄下建立autorelabel
檔案,以避免出現該問題。執行以下命令,在根目錄下建立隱藏檔案
autorelabel
。sudo touch /.autorelabel
運行以下命令,重啟ECS執行個體。
說明執行個體重啟後,SELinux會自動重新標記所有系統檔案。
sudo shutdown -r now
關閉SELinux
關閉SELinux可能會降低系統的安全性,使系統更容易受到潛在的安全性漏洞和攻擊。在關閉之前,您應該仔細評估潛在的風險,並確保系統中其他安全措施的有效性。因此,在解決問題後,建議儘快重新啟用SELinux,以恢複系統的安全性保護。
遠端連線ECS執行個體。
關於串連方式的介紹,請參見串連方式概述。
運行以下命令,查看SELinux狀態。
sestatus
若系統返回的參數資訊
SELinux status
顯示為enabled
,則表示SELinux已啟動。選擇臨時關閉或者永久關閉SELinux。
臨時關閉SELinux
執行以下命令,臨時關閉SELinux。
setenforce 0
永久關閉SELinux
運行以下命令,編輯SELinux的
config
檔案。sudo vi /etc/selinux/config
找到
SELINUX=enforcing
或SELINUX=permissive
欄位,按i
進入編輯模式,將參數SELINUX=enforcing
或SELINUX=permissive
修改為SELINUX=disabled
。修改完成後,按下鍵盤
Esc
鍵,執行命令:wq
,儲存並退出檔案。運行以下命令,重啟ECS執行個體。
sudo shutdown -r now
完成重啟後,運行以下命令,驗證SELinux狀態。
sestatus
若系統返回的參數資訊
SELinux status
顯示為disabled
,則表明SELinux已永久關閉。
相關文檔
您可以通過已啟動SELinux的ECS執行個體建立自訂鏡像。在您需要的時候,直接通過該鏡像建立已啟動SELinux的ECS執行個體。