SELinux是Linux內(nèi)核中的一種安全模塊，由美國(guó)國(guó)家安全局（NSA）為了提供額外的安全防護(hù)而開發(fā)的。它通過強(qiáng)制應(yīng)用程式安全策略，限制系統(tǒng)中進(jìn)程的訪問，從而提高了系統(tǒng)的安全性。盡管它是一個(gè)有益的安全特性，但在某些情況下，需要禁用SELinux保護(hù)。怎么辦呢？

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、成都小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了衢州免費(fèi)建站歡迎大家使用！

本文將討論如何禁用SELinux內(nèi)核保護(hù)。我們將了解SELinux是什么，為什么要禁用它，以及如何禁用它。

SELinux是什么？

SELinux是Linux內(nèi)核中的一種安全模塊。它為L(zhǎng)inux提供了一個(gè)額外的安全層，以限制應(yīng)用程式和系統(tǒng)中進(jìn)程的訪問權(quán)限。SELinux強(qiáng)制實(shí)施安全策略，要求每個(gè)進(jìn)程都使用最小的權(quán)限來運(yùn)行。這個(gè)安全框架基于強(qiáng)制訪問控制（MAC）技術(shù)，使得系統(tǒng)管理員可以根據(jù)用戶、文件、目錄和網(wǎng)絡(luò)端口等要素來管理安全策略。

為什么要禁用SELinux？

雖然SELinux對(duì)于許多用例非常有用，但在一些情況下，它可能會(huì)對(duì)服務(wù)器上的操作造成一些限制。有時(shí)，由于安全策略的限制，某些應(yīng)用程式可能無法運(yùn)行。期望的訪問權(quán)限可能被錯(cuò)誤地阻止或者限制。雖然這種情況并不常見，但在某些情況下禁用SELinux是必要的。

另一個(gè)可能需要禁用SELinux的原因是，有些軟件不支持SELinux。這是因?yàn)槟承┸浖ɡ鏒ocker），會(huì)使用自己的安全機(jī)制并不需要SELinux來保護(hù)容器。

如何禁用SELinux？

在禁用SELinux之前，首先需要知道，SELinux是為了系統(tǒng)安全而存在的。禁用它將增加一些安全風(fēng)險(xiǎn)，因此建議只有在非常必要的情況下才禁用SELinux。此外，應(yīng)該對(duì)服務(wù)器上的其他安全機(jī)制（例如防火墻）進(jìn)行升級(jí)，以加強(qiáng)安全性保護(hù)。

在Linux中，禁用SELinux最常用的方法是通過修改配置文件。以下是具體步驟：

步驟1：打開SELinux配置文件。

要打開SELinux配置文件，請(qǐng)運(yùn)行以下命令：

sudo vim /etc/selinux/config

步驟2：禁用SELinux。

在SELINUX=后面輸入disabled，以禁用SELinux。請(qǐng)注意大寫字母。

SELINUX=disabled

步驟3：保存更改。

按“ESC”退出編輯模式，輸入“:wq”并按Enter鍵以保存更改。

步驟4：重新啟動(dòng)服務(wù)器。

禁用SELinux之后，應(yīng)該重新啟動(dòng)服務(wù)器以應(yīng)用更改。請(qǐng)注意，在某些情況下可能需要使用特定命令啟動(dòng)服務(wù)器。

結(jié)論

SELinux是Linux內(nèi)核中的一個(gè)安全模塊，為系統(tǒng)管理員提供了更多的安全保護(hù)。雖然它非常有用，但在某些情況下，需要禁用SELinux。禁用時(shí)應(yīng)該提高其他安全措施來彌補(bǔ)禁用SELinux的風(fēng)險(xiǎn)。禁用SELinux的最常用方法是通過修改配置文件。通過了解SELinux的基本知識(shí)以及應(yīng)該在何時(shí)禁用它，您可以更好地保護(hù)您的服務(wù)器。

相關(guān)問題拓展閱讀：

• linux 為什么要關(guān)閉selinux
• 運(yùn)維的小伙伴應(yīng)該知道的安全模塊SELinux
• 如何解決SELinux問題

linux 為什么要關(guān)閉selinux

多數(shù)情況下是因?yàn)闆]有專業(yè)運(yùn)維，或者運(yùn)維懶氏茄攔。。。

除了我這么無聊的人，應(yīng)該不會(huì)有多少非專職運(yùn)維去讀那個(gè)麻煩死殲胡的SELinux文檔->_->

其納弊實(shí)多數(shù)情況下你們的東西運(yùn)行不了只要一個(gè)restorecon就可以搞定->_->

一般安裝linux課程時(shí)都把SELinux與iptables安排在后面，使初學(xué)者配置linux服務(wù)器時(shí)不成功，卻沒有頭緒，那是因?yàn)樵赗edHat linux操作系統(tǒng)中默認(rèn)開啟了防火墻，SELinux也處于啟動(dòng)狀態(tài)，一般狀桐逗悄態(tài)為enforing。致使很多服務(wù)端口默認(rèn)是關(guān)閉的。

所以好多服務(wù)初學(xué)者明明

配置文件

正確，等驗(yàn)證時(shí)有時(shí)連ping也ping不通。建議初學(xué)者在未學(xué)到SELlinux與iptables之前，配置服務(wù)器把這兩項(xiàng)都關(guān)掉。

擴(kuò)展資局渣料

SELinux 的作用及權(quán)限管理機(jī)制：

SELinux 主要作用就是更大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問的資源（最小權(quán)限原則）。

SELinux 有三種工作模式，分別是：

1、enforcing：強(qiáng)制模式。違反 SELinux 規(guī)則的行為將被阻止并記錄到日志中。

2、permissive：寬容模式。違反 SELinux 規(guī)則的行為只會(huì)記錄到日志中。一般為調(diào)試用。

3、disabled：關(guān)閉 SELinux。

SELinux 工作模式可以在 /etc/selinux/config 中設(shè)定。

如果想從 disabled 切換到 enforcing 或者 permissive 的話，需要重啟系統(tǒng)。反過來也一樣。

enforcing 和 permissive 模式可以通過 setenforce 1|0 命令快速切換。

需要注意的是，如果系統(tǒng)已經(jīng)在關(guān)閉 SELinux 的狀態(tài)下運(yùn)行了一段時(shí)間，在打開 SELinux 之后的之一次重啟速度可能會(huì)比較慢。因?yàn)橄到y(tǒng)必須為磁盤中的文件指運(yùn)創(chuàng)建安全上下文。

SELinux 日志的記錄需要借助 auditd.service 這個(gè)服務(wù)，請(qǐng)不要禁用它。

一般安裝linux課程時(shí)都畝兄把SELinux與iptables安排在后面，使初學(xué)者配置linux服務(wù)器時(shí)不成功，卻沒有頭緒，那是因?yàn)樵赗edHat linux操作系統(tǒng)中默認(rèn)開啟了防火墻，SELinux也處于啟動(dòng)狀態(tài)，一般狀態(tài)為enforing。致使很多服務(wù)端口默認(rèn)是關(guān)閉的。所以好多服務(wù)初學(xué)者明明配置文件正確，等驗(yàn)證時(shí)有時(shí)迅舉襲連ping也ping不通。建議初學(xué)者在未學(xué)到SELlinux與iptables之前，配置服務(wù)器把這兩項(xiàng)都關(guān)掉。那么怎么關(guān)呢？

1、關(guān)閉iptables

#service iptables stop

2、關(guān)閉SELinux

#vi /etc/selinux/config

將文件中的SELINUX=”” 為 disabled ，然后重啟。

如果不想重啟系統(tǒng)，使用命令setenforce 0注：setenforce 1 設(shè)置SELinux 成為enforcing模式

setenforce 0 設(shè)置SELinux 成為permissive模式

在lilo或者grub的啟動(dòng)參數(shù)中增加：selinux=0,也可以答緩關(guān)閉selinux

#

查看selinux狀態(tài)：

/usr/bin/setstatus -v如下：SELinux status: enabled

SELinuxfs mount: /selinux

Current mode: permissive

Mode from config file: enforcing

Policy version: 21

getenforce/setenforce查看和設(shè)置SELinux的當(dāng)前工作模式

原因有幾個(gè)：

1. 麻鬧祥煩確實(shí)是一個(gè)因素，SELinux策略是白名單原則，所以你需要非常清楚你的各項(xiàng)操作都需要哪些訪問權(quán)限，這個(gè)好像數(shù)量有叢塵點(diǎn)多了。

2. 使用SELinux的真的非常少。因?yàn)殛P(guān)掉它造成的損失可以有解釋說別人也是這么做的。

3. 不確定性，因?yàn)橐恢睕]有搞過，然滲彎禪后所有的軟件的文檔里也沒有寫SELinux相關(guān)的配置，遇到相關(guān)問題時(shí)不好解決。

因?yàn)橛行┮?guī)則會(huì)阻止某些訪問。

你要是高手也可鋒攜以不關(guān)，

如果是想學(xué)習(xí)Linux，那就關(guān)了吧

開了以后由于新手不懂設(shè)置，

很悄或可能造成各種外部的連接不成功，比如ftp啊telnet啊，ssh啥的

深入啟基伍學(xué)習(xí)Linux可查看Linux書籍《Linux就該這么學(xué)》。

運(yùn)維的小伙伴應(yīng)該知道的安全模塊SELinux

Security-Enhanced Linux ，是美國(guó)國(guó)家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)開發(fā)的 Linux的一個(gè)強(qiáng)制訪問控制的安全模塊。2023年以GNU GPL發(fā)布，Linux內(nèi)核 2.6版本后集成在內(nèi)核中

DAC：Discretionary Access Control自由訪問控拿橋制

MAC：Mandatory Access Control 強(qiáng)制訪問控制

對(duì)象(object)：所有可以讀取的對(duì)象，包括文件、目錄和進(jìn)程，端口等

主體：進(jìn)程稱為主體(subject)

SELinux中對(duì)所有的文件都賦予一個(gè)type的文件類型標(biāo)簽，對(duì)于所有的進(jìn)程也賦 予各自的一個(gè)domain的標(biāo)簽。domain標(biāo)簽?zāi)軌驁?zhí)行的操作由安全策略里定義

當(dāng)一個(gè)subject試圖訪問一個(gè)object，Kernel中的策略執(zhí)行服務(wù)器將檢查AVC (訪 問矢量緩存Access Vector Cache), 在AVC中，subject和object的權(quán)限被緩存 (cached)，查找“應(yīng)用+文件”的安全環(huán)境。然后根據(jù)查詢結(jié)果允許或拒絕訪問

安全策略：定義主體讀取對(duì)象的規(guī)則數(shù)消裂猛據(jù)庫(kù)，規(guī)則中記錄了哪個(gè)類型的主體使用 哪個(gè)方法讀取哪一個(gè)對(duì)象是允許還是拒絕的，并且定義了哪種行為是充許或拒絕

SELinux有四種工作類型：

targeted為默認(rèn)類型，minimum和mls穩(wěn)定性不足，未加以應(yīng)用，strict已不再 使用

傳統(tǒng)Linux，一切皆文件，由用戶，組，權(quán)限控制訪問

在SELinux中，一切皆對(duì)象（object），由存放在inode的擴(kuò)展屬性域的安全元 素所控制其訪問

所有文件和端口資源和進(jìn)程都具備安全標(biāo)簽：安全上下文源鎮(zhèn)（security context） ?安全上下文有五個(gè)元素組成：

user:role:type:sensitivity:category

user_u:object_r:tmp_t:s0:c0

實(shí)際上下文：存放在文件系統(tǒng)中，ls –Z;ps –Z

期望(默認(rèn))上下文：存放在二進(jìn)制的SELinux策略庫(kù)（映射目錄和期望安全上下 文）中

semanage fcontext –l

配置SELinux:

SELinux的狀態(tài)：

相關(guān)命令：

getenforce: 獲取selinux當(dāng)前狀態(tài)

sestatus :查看selinux狀態(tài)

setenforce 0|1

配置文件:

/boot/grub/grub.conf 在kernel行使用selinux=0禁用SELinux

/boot/grub2/grub.cfg 在linux16行使用selinux=0禁用SELinux

/etc/selinux/config

/etc/sysconfig/selinux

給文件重新打安全標(biāo)簽：

chcon … FILE…

chcon … –reference=RFILE FILE…

恢復(fù)目錄或文件默認(rèn)的安全上下文：

restorecon /path/to/somewhere

semanage：來自policycoreutils-python包

查看默認(rèn)的安全上下文

semanage fcontext –l

添加安全上下文

semanage fcontext -a –t httpd_sys_content_t ‘/testdir(/.*)?’ restorecon –Rv /testdir

刪除安全上下文

semanage fcontext -d –t httpd_sys_content_t ‘/testdir(/.*)?’

查看端口標(biāo)簽

semanage port –l

添加端口

semanage port -a -t port_label -p tcp|udp

PORT

semanage port -a -t http_port_t -p tcp 9527

刪除端口

semanage port -d -t port_label -p tcp|udp

PORT

semanage port -d -t http_port_t -p tcp 9527

修改現(xiàn)有端口為新標(biāo)簽

semanage port -m -t port_label -p tcp|udp

PORT

semanage port -m -t http_port_t -p tcp 9527

布爾型規(guī)則：

getsebool

setsebool

查看bool命令：

getsebool

semanage boolean –l

semanage boolean -l –C 查看修改過的布爾值

設(shè)置bool值命令：

setsebool boolean value（on,off）

setsebool Boolean=value（1，0）

yum install setroubleshoot（重啟生效）

將錯(cuò)誤的信息寫入/var/log/message

grep setroubleshoot /var/log/messages

查看安全事件日志說明

sealert -l UUID

掃描并分析日志

如何解決SELinux問題

有碰到即使是permissive也不行的，最后是改成disabled后重啟機(jī)器才可以。

首先需要確認(rèn)SELinux處于激活狀態(tài)，可以使用getenforce命令：

兄凳　shell> getenforce

Enforcing

或者使用sestatus命令：

shell> sestatus

SELinux status: enabled

SELinuxfs mount: /selinux

Current mode: enforcing

Mode from config file:enforcing

Policy version: 24

Policy from config file:targeted

注：關(guān)于SELinux的基礎(chǔ)知識(shí)介紹請(qǐng)參考鳥哥的Linux私房菜中相關(guān)的介紹。

我們還需要確認(rèn)系統(tǒng)已經(jīng)安裝并啟動(dòng)了Apache，沒有的話就YUM裝一個(gè)，這很簡(jiǎn)單，就不多說了，接著在root目錄創(chuàng)建一個(gè)測(cè)試文件test.html，如下：

shell> cat /root/test.html

hello, world.

然后把這個(gè)測(cè)試文件拷貝到Apache的DocumentRoot目錄，我的Apache是通過YUM安裝的話，缺省是/var/www/html目錄，如下：

shell> cp /root/test.html /var/www/html

接著瀏覽一下，如果沒出什么幺蛾子，應(yīng)該一切都在意料之中，如下：

shell> curl

hello, world.

看到這，你可能覺得我廢話連篇，別著急，下面就是見證奇跡的時(shí)候了：

同樣還是那個(gè)測(cè)試文件test.html，不過這次不再是拷貝，而是移動(dòng)，如下：

shell> mv /root/test.html /var/www/html

接著瀏覽一下，怎么樣，結(jié)果很出人意料吧，竟然提示權(quán)限錯(cuò)誤，如下：

shell> curl

403 Forbidden

Forbidden

You don’t have permission to access /test.html

on this server.

當(dāng)然，我們現(xiàn)在知道這個(gè)問題是由于SELinux引起的，但還不知其所以然，實(shí)際上問題的原因此時(shí)已經(jīng)被螞鄭audit進(jìn)程記錄到了相應(yīng)的日志里，可以這羨物旅樣查看：

shell> audit2why yum install setroubleshoot

它本身是一個(gè)GUI套件，不過其中包含的一個(gè)sealert命令對(duì)我們命令行用戶很有用：

shell> sealert -a /var/log/audit/audit.log

Summary:

SELinux is preventing /usr/in/httpd “getattr” access to

/var/www/html/test.html.

Detailed Description:

SELinux denied access requested by httpd. /var/www/html/test.html may be a

mislabeled. /var/www/html/test.html default SELinux type is httpd_sys_content_t,

but its current type is admin_home_t. Changing this file back to the default

type, may fix your problem.

File contexts can be assigned to a file in the following ways.

* Files created in a directory receive the file context of the parent

directory by default.

* The SELinux policy might override the default label inherited from the

parent directory by specifying a process running in context A which creates

a file in a directory labeled B will instead create the file with label C.

An example of this would be the dhcp client running with the dhclient_t type

and creating a file in the directory /etc. This file would normally receive

the etc_t type due to parental inheritance but instead the file is labeled

with the net_conf_t type because the SELinux policy specifies this.

* Users can change the file context on a file using tools such as chcon, or

restorecon.

This file could have been mislabeled either by user error, or if an normally

confined application was run under the wrong domain.

However, this might also indicate a bug in SELinux because the file should not

have been labeled with this type.

If you believe this is a bug, please file a bug report against this package.

Allowing Access:

You can restore the default system context to this file by executing the

restorecon command. restorecon ‘/var/www/html/test.html’, if this file is a

directory, you can recursively restore using restorecon -R

‘/var/www/html/test.html’.

Fix Command:

/in/restorecon ‘/var/www/html/test.html’

這次應(yīng)該看懂了吧！原因是說Apache下文件上下文類型應(yīng)該是httpd_sys_content_t，但是現(xiàn)在是admin_home_t，所以權(quán)限錯(cuò)誤，并且在結(jié)尾處給出了修復(fù)命令。

可httpd_sys_content_t，admin_home_t都怎么看啊？很簡(jiǎn)單，借助ls命令的-Z參數(shù)即可：

shell> ls -Z /path

回到問題的開始，拷貝之所以沒出現(xiàn)問題，是因?yàn)閏p自動(dòng)修改上下文屬性，而移動(dòng)之所以出現(xiàn)問題是因?yàn)閙v保留原文件的上下文屬性。

注：關(guān)于SELinux和Apache的詳細(xì)介紹，可以參考『man httpd_selinux』。

知道了如何解決SELinux問題，以后如果遇到類似的情況不要急著武斷的關(guān)閉SELinux。

上面有個(gè)小錯(cuò)，應(yīng)該是echo “0” > /selinux/enforce (少了>)selinux如果有開很容易雀塵造成ifind問題，參看下面系統(tǒng)日志Aug 2 20:52:06 cc-lnx-imglib setroubleshoot: SELinux is preventing /opt/simpana/iDataAgent/ifind “execstack”梁歲枯 access to . For complete SELinux messages. run sealert -l 4a0b3993-b18f-4c72-9e1d-4f5d8175ad41Jul 31 00:30:09 cc-lnx-imglib setroubleshoot: SELinux is preventing /橡洞bin/hostname access to a leaked /tmp/.gxsetup/cvpkglo g.pipe.26262 file descriptor. For complete SELinux messages. run sealert -l e675a6a6-efc9-461f-bc0fd2d308

別一種查看SElinux方法：# sestatusSELinux status: disabled

selinux 內(nèi)核禁用的介紹就聊到這里吧，感謝你花時(shí)間閱讀本站內(nèi)容，更多關(guān)于selinux 內(nèi)核禁用,如何禁用SELinux內(nèi)核保護(hù)？,linux 為什么要關(guān)閉selinux,運(yùn)維的小伙伴應(yīng)該知道的安全模塊SELinux,如何解決SELinux問題的信息別忘了在本站進(jìn)行查找喔。

成都服務(wù)器租用選創(chuàng)新互聯(lián)，先試用再開通。
創(chuàng)新互聯(lián)（www.cdcxhl.com）提供簡(jiǎn)單好用，價(jià)格厚道的香港/美國(guó)云服務(wù)器和獨(dú)立服務(wù)器。物理服務(wù)器托管租用：四川成都、綿陽(yáng)、重慶、貴陽(yáng)機(jī)房服務(wù)器托管租用。

當(dāng)前名稱：如何禁用SELinux內(nèi)核保護(hù)？ (selinux 內(nèi)核禁用)
瀏覽路徑：http://www.dlmjj.cn/article/dhjppjd.html