SUM服务器监控软件

Windows、Linux、HP-Unix、AIX全部IT设备集中监控与统一管理软件!

数据库监控与应用服务器监控

对Oracle、MySQL、SQL Server数据库、Tomcat、JBOSS、WebLogic、WebSphere等进行统一监控!

网络设备集中监控

集中监控所有网络设备端口出入流量、丢包、错误、ARP包,CPU使用率和内存使用率!

关闭SELinux、查看SELinux状态与SELinux的作用

[原创] [作者] 杨熙(永动机) [阅读次数] 174 [类别] IT运维与配置软件
转载请注明出处(哲涛服务器监控与运维知识库), 文章网址: http://www.svngo.com/article74

SELinux 全称是 Security-Enhanced Linux,它是是美国国家安全局(NSA)对于强制访问控制MAC (Mandatory Access Control,强制访问控制系统)的实现,是 Linux 系统中最杰出的安全子系统。开启SELinux 和关闭SELinux 对系统的安全运行会带来一定的影响。

SELinux 的作用

SELinux 的核心用户就是对文件的访问控制,它为需要控制访问的文件加上访问标签,采用有标签才可访问的策略进行访问控制。主要用于对一些软件可能存在漏洞,但软件还未发布补丁时起到访问控制作用。比如常用的 nginx WEB服务器软件如果存一个漏洞,可以使得攻击者能访问到 /etc/passwd 文件,但如果开启了 SELinux 同时访问文件没有nginx的访问标签, 则可以阻止通过nginx来访问 /etc/passwd 。但SELinux 的使用也给我们带来一些问题,比如一些软件还不支持这一方式,经常可能出现各种因为SELinux的开启而带来的错误,比如MySQL,如果开启动了SELinux极有可能无法启动(特别是MySQL更换数据目录,如果未设置标签)。这时我们就需要临时关闭SELinux,从而解决问题。

SELinux 的处理过程

SELinux的处理过程

SELinux 的配置文件

在CentOS中它的配置文件是:/etc/selinux/config,其它系统可能在:/etc/sysconfig/selinux。但其内容大致相同,本文以CentOS为例:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted 

其中的SELINUX=enforcing则表示强制启动SELinux,其它的两个选项:SELINUX=permissive 表示临时不强制起作用,但会生成警告信息;SELINUX=disabled 完全关闭SELinux。需要注意如果通过修改此文件来设置SELinux,则需要重启系统。

关闭SELinux

需要临时关闭SELinux时,只要在命令行执行:

setenforce 0

开启SELinux

需要临时关闭SELinux时,只要在命令行执行:

setenforce 1

查看SELinux的状态,只要运行(sestatus -v)即可:

[root@localhost ~]# sestatus -v
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          enforcing
Policy version:                 24
Policy from config file:        targeted

Process contexts:
Current context:                unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
Init context:                   system_u:system_r:init_t:s0
/sbin/mingetty                  system_u:system_r:getty_t:s0
/usr/sbin/sshd                  system_u:system_r:sshd_t:s0-s0:c0.c1023

File contexts:
Controlling term:               unconfined_u:object_r:user_devpts_t:s0
/etc/passwd                     system_u:object_r:etc_t:s0
/etc/shadow                     system_u:object_r:shadow_t:s0
/bin/bash                       system_u:object_r:shell_exec_t:s0
/bin/login                      system_u:object_r:login_exec_t:s0
/bin/sh                         system_u:object_r:bin_t:s0 -> system_u:object_r:shell_exec_t:s0
/sbin/agetty                    system_u:object_r:getty_exec_t:s0
/sbin/init                      system_u:object_r:init_exec_t:s0
/sbin/mingetty                  system_u:object_r:getty_exec_t:s0
/usr/sbin/sshd                  system_u:object_r:sshd_exec_t:s0