日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
selinux配置錯(cuò)誤導(dǎo)致CentOS無法重啟

錯(cuò)誤原因

配置關(guān)閉SELinux,結(jié)果誤操作

應(yīng)修改配置文件/etc/selinux/config中的“SELINUX”參數(shù)的值,
# SELINUX=enforcing  原始配置
SELINUX=disabled    正確

但是誤將“SELINUXTYPE”看成“SELINUX”,設(shè)置了SELINUXTYPE參數(shù):
#SELINUXTYPE=targeted  原始配置 這個(gè)不必修改。
SELINUXTYPE=disabled  錯(cuò)誤

錯(cuò)誤結(jié)果

重啟后 機(jī)器就報(bào) Failed to load SELinux policy. Freezing 錯(cuò)誤 導(dǎo)致一直不能啟動(dòng)

解決辦法:

1. 重啟時(shí)在啟動(dòng)頁(yè)面,選擇你要啟動(dòng)的內(nèi)核 按 E, 進(jìn)入 grub 編輯頁(yè)面。

2. 找到 linux16 那一行,在language 后面 也就是LANG=zh_CN.UTF-8,空格 加上 selinux=0 或者 enforcing=0 (備注:我是加入selinux=0 生效的。)

3. 然后 ctrl + x 啟動(dòng),就看到熟悉的登錄界面。

4 .修改selinux配置文件,正確關(guān)閉selinux ~!

vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#    enforcing - SELinux security policy is enforced.
#    permissive - SELinux prints warnings instead of enforcing.
#    disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#    targeted - Targeted processes are protected,
#    minimum - Modification of targeted policy. Only selected processes are protected.
#    mls - Multi Level Security protection.
SELINUXTYPE=targeted

修改完畢后,重啟。查看是否會(huì)報(bào)錯(cuò) 。over。

安全增強(qiáng)型 Linux(Security-Enhanced Linux)

SELinux,它是一個(gè) Linux 內(nèi)核模塊,也是 Linux 的一個(gè)安全子系統(tǒng)。

SELinux 主要由美國(guó)國(guó)家安全局開發(fā)。2.6 及以上版本的 Linux 內(nèi)核都已經(jīng)集成了 SELinux 模塊。

1、SELinux 的作用及權(quán)限管理機(jī)制

1.1 SELinux 的作用

SELinux 主要作用就是最大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問的資源(最小權(quán)限原則)。

目前系統(tǒng)文件權(quán)限的管理有兩種:DAC(傳統(tǒng)的) 和 MAC(SELinux)

1.2 DAC

傳統(tǒng)的文件權(quán)限與帳號(hào)關(guān)系:自主式存取控制, DAC(Discretionary Access Control, DAC)

在沒有使用 SELinux 的操作系統(tǒng)中,決定一個(gè)資源是否能被訪問的因素是:某個(gè)資源是否擁有對(duì)應(yīng)用戶的權(quán)限(讀、寫、執(zhí)行)。

只要訪問這個(gè)資源的進(jìn)程符合以上的條件就可以被訪問。

而最致命問題是,root 用戶不受任何管制,系統(tǒng)上任何資源都可以無限制地訪問。

這種權(quán)限管理機(jī)制的主體是用戶,也稱為自主訪問控制(DAC)。

1.3 MAC

以政策規(guī)則訂定特定程序讀取特定文件:委任式存取控制,MAC

在使用了 SELinux 的操作系統(tǒng)中,決定一個(gè)資源是否能被訪問的因素除了上述因素之外,還需要判斷每一類進(jìn)程是否擁有對(duì)某一類資源的訪問權(quán)限。

這樣一來,即使進(jìn)程是以 root 身份運(yùn)行的,也需要判斷這個(gè)進(jìn)程的類型以及允許訪問的資源類型才能決定是否允許訪問某個(gè)資源。進(jìn)程的活動(dòng)空間也可以被壓縮到最小。

即使是以 root 身份運(yùn)行的服務(wù)進(jìn)程,一般也只能訪問到它所需要的資源。即使程序出了漏洞,影響范圍也只有在其允許訪問的資源范圍內(nèi)。安全性大大增加。

這種權(quán)限管理機(jī)制的主體是進(jìn)程,也稱為強(qiáng)制訪問控制(MAC)。

而 MAC 又細(xì)分為了兩種方式,一種叫類別安全(MCS)模式,另一種叫多級(jí)安全(MLS)模式。
在 DAC 模式下,只要相應(yīng)目錄有相應(yīng)用戶的權(quán)限,就可以被訪問
在 MAC 模式下,還要受進(jìn)程允許訪問目錄范圍的限制。

【總結(jié)理解】
DAC是以用戶為出發(fā)點(diǎn)來管理權(quán)限的
MAC是以程序?yàn)槌霭l(fā)點(diǎn)來管理權(quán)限的

以前:root--->啟動(dòng)httpd---->httpd可以訪問系統(tǒng)任何文件
現(xiàn)在:root--->啟動(dòng)httpd---->httpd只能訪問/var/www/目錄(這是MAC)規(guī)則的約束

如果httpd想要訪問其他目錄,那么必須滿足兩個(gè)條件:DAC的rwx + MAC的規(guī)則


本文題目:selinux配置錯(cuò)誤導(dǎo)致CentOS無法重啟
網(wǎng)站網(wǎng)址:http://www.dlmjj.cn/article/ccspdog.html