引言
本文内容仅适用于麒麟V10-SP1,其他版本问题需单独咨询。注:原厂技术支撑提供的命令仅作为使用指导,并不能确保完全无误,用户需结业务场景进行判断,完全照搬相关命令,可能会给业务带来进一步的隐患。且涉及的配置修改、漏洞修复、补丁更新等工作,需用户自行操作。如下涉及到的audit、mate-indicators、tigervnc等离线补丁包可到以下共享链接下载
链接:https://pan.baidu.com/s/13OvOmMDTCaBx5qPPKfmXmQ 提取码:cclr
一、软件安装
1、VNC及图形化界面安装
详见“IAAS资源常见问题”第三章“使用问题”1.2章节
https://doc.weixin.qq.com/doc/w3_m_XIERCBXihToQ?scode=AFYArwcHAAsvHtk5SkAI0AwwaTAEA
2、Tcpping
第三方软件,需自行下载安装,参考https://github.com/deajan/tcpping
3、浏览器
2.1 自带浏览器,用的是火狐浏览器firefox-60.7.0-1版本,如不满足业务使用需求的,可参考下方自行安装第三方浏览器软件。
2.2 第三方浏览器
第三方软件,建议自行下载安装。如常见的360浏览器(采用的是chromium内核)可参考360浏览器官网:https://browser.360.net/gc/index.html?src=se
4、mysql
MySQL属于第三方软件,是Oracle的产品,目前绝大部分商业发行版Linux都不会带的,需要Oracle的授权许可。需自行下载,参考:https://downloads.mysql.com/archives/community/
5、其他
涉及到第三方软件,需自行下载安装。
二、yum源新地址
为满足用户的使用需求,目前已将麒麟外网yum源同步至云平台本地yum服务器上,可根据系统版本、区域机房进行配置。默认开通防火墙策略,如遇网络不通,可联系政务网络小助手020-62833113协助。
系统版本查看方式:nkvers
如下为V10SP1 0711(ARM)版本
如下分别为V10SP1 0319(ARM)、V10SP1 0518(ARM)版本
1、明美机房
1.1 新建云yum服务器(10.145.0.101)
1.1.1 V10-SP1-0711(ARM)版本
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http://10.145.0.101/v10sp1/aarch64/ks10-adv-os
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://10.145.0.101/v10sp1/aarch64/ks10-adv-updates
gpgcheck = 0
enabled = 0
[ks10-adv-appstore]
name = Kylin Linux Advanced Server 10 - Appstore
baseurl = http://10.145.0.101/v10sp1/aarch64/ks10-adv-appstore
gpgcheck = 0
enabled = 0
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http://10.145.0.101/v10sp1/aarch64/ks10-adv-addons
gpgcheck = 0
enabled = 0
1.1.2 V10-SP1-0319 & 0518(ARM)版本
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http://10.145.0.101/v10sp1.1/aarch64/ks10-adv-os
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://10.145.0.101/v10sp1.1/aarch64/ks10-adv-updates
gpgcheck = 0
enabled = 0
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http://10.145.0.101/v10sp1.1/aarch64/ks10-adv-addons
gpgcheck = 0
enabled = 0
1.2 原政务云yum服务器(192.168.38.217)
1.2.1 V10-SP1-0711(x86)版本
适用范围:X86政务云全部区域的X86服务器
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http://192.168.38.217/v10sp1/x86/ks10-adv-os
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://192.168.38.217/v10sp1/x86/ks10-adv-updates
gpgcheck = 0
enabled = 0
[ks10-adv-appstore]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://192.168.38.217/v10sp1/x86/ks10-adv-appstore
gpgcheck = 0
enabled = 0
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http://192.168.38.217/v10sp1/x86/ks10-adv-addons
gpgcheck = 0
enabled = 0
1.2.1 V10-SP1-0319 & 0518(x86)版本
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http://192.168.38.217/v10sp1.1/x86/ks10-adv-os
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://192.168.38.217/v10sp1.1/x86/ks10-adv-updates
gpgcheck = 0
enabled = 0
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http://192.168.38.217/v10sp1.1/x86/ks10-adv-addons
gpgcheck = 0
enabled = 0
1.2.3 V10-SP1-0711(ARM)版本
适用范围:X86政务云部分专区的ARM服务器
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http://192.168.38.217/v10sp1/aarch64/ks10-adv-os
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://192.168.38.217/v10sp1/aarch64/ks10-adv-updates
gpgcheck = 0
enabled = 0
[ks10-adv-appstore]
name = Kylin Linux Advanced Server 10 - Appstore
baseurl = http://192.168.38.217/v10sp1/aarch64/ks10-adv-appstore
gpgcheck = 0
enabled = 0
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http://192.168.38.217/v10sp1/aarch64/ks10-adv-addons
gpgcheck = 0
enabled = 0
1.2.4 V10-SP1-0319 & 0518(ARM)版本
适用范围:X86政务云部分专区的ARM服务器
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http://192.168.38.217/v10sp1.1/aarch64/ks10-adv-os
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://192.168.38.217/v10sp1.1/aarch64/ks10-adv-updates
gpgcheck = 0
enabled = 0
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http://192.168.38.217/v10sp1.1/aarch64/ks10-adv-addons
gpgcheck = 0
enabled = 0
2、XC新建云东涌机房
2.1 V10-SP1-0711(ARM)版本
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http:// 10.146.3.65/v10sp1/aarch64/ks10-adv-os
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http:// 10.146.3.65/v10sp1/aarch64/ks10-adv-updates
gpgcheck = 0
enabled = 0
[ks10-adv-appstore]
name = Kylin Linux Advanced Server 10 - Appstore
baseurl = http:// 10.146.3.65/v10sp1/aarch64/ks10-adv-appstore
gpgcheck = 0
enabled = 0
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http:// 10.146.3.65/v10sp1/aarch64/ks10-adv-addons
gpgcheck = 0
enabled = 0
2.2 V10-SP1-0319 & 0518(ARM)版本
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http:// 10.146.3.65/v10sp1.1/aarch64/ks10-adv-os
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http:// 10.146.3.65/v10sp1.1/aarch64/ks10-adv-updates
gpgcheck = 0
enabled = 0
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http:// 10.146.3.65/v10sp1.1/aarch64/ks10-adv-addons
gpgcheck = 0
enabled = 0
3、XC新建云南基机房
3.1 V10-SP1-0711(ARM)版本
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http://10.147.12.40/v10sp1/aarch64/ks10-adv-os
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://10.147.12.40/v10sp1/aarch64/ks10-adv-updates
gpgcheck = 0
enabled = 0
[ks10-adv-appstore]
name = Kylin Linux Advanced Server 10 - Appstore
baseurl = http://10.147.12.40/v10sp1/aarch64/ks10-adv-appstore
gpgcheck = 0
enabled = 0
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http://10.147.12.40/v10sp1/aarch64/ks10-adv-addons
gpgcheck = 0
enabled = 0
3.2 V10-SP1-0319 & 0518(ARM)版本
###Kylin Linux Advanced Server 10 - os repo###
[ks10-adv-os]
name = Kylin Linux Advanced Server 10 - Os
baseurl = http://10.147.12.40/v10sp1.1/aarch64/ks10-adv-os
gpgcheck = 0
enabled = 1
[ks10-adv-updates]
name = Kylin Linux Advanced Server 10 - Updates
baseurl = http://10.147.12.40/v10sp1.1/aarch64/ks10-adv-updates
gpgcheck = 0
enabled = 0
[ks10-adv-addons]
name = Kylin Linux Advanced Server 10 - Addons
baseurl = http://10.147.12.40/v10sp1.1/aarch64/ks10-adv-addons
gpgcheck = 0
enabled = 0
三、软件适配
软件适配信息可通过麒麟生态:https://eco.kylinos.cn/zoology/commercial.html?system_class=1查询。
四、镜像文件下载
政务云服务器发放时,会按照用户需求,提供对应的操作系统(最小化模式安装模式)。如有其他个人或者测试需求,需获取操作系统镜像文件,可自行在麒麟官网下载:
产品试用申请·银河麒麟操作系统 麒麟操作系统 国产操作系统 中标麒麟 开放麒麟 openKylin 麒麟软件官方网站
https://www.kylinos.cn/support/trial.html
五、漏洞修复
如通过漏扫工具发现有CVE漏洞的,可凭CVE编号到麒麟软件安全漏洞发布平台查询相关的解决方案https://www.kylinos.cn/support/loophole/patch.html,如没有查询到可以反馈至技术支持群或者联系对应的项目负责人。麒麟软件拥有自己的版本维护机制,与开源社区的版本维护机制不同,漏扫工具一般采用开源社区提供的版本进行判断,这可能导致升级补丁包后, 漏扫仍然能够扫描出该漏洞,因此具体修复版本请遵循麒麟软件提供的版本与安全公告说明,开源社区的版本号和漏扫结果可做参考。
备注:特别像openssl、openssh等系统组件请不要自行找源码包编译安装,自行编译安装开源版本的源码包不排除会造成系统运行异常。
Docker runc容器逃逸漏洞(CVE-2021-30465) 补丁包:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/docker-runc-1.0.0.rc3-203.p02.ky10.aarch64.rpm
OpenSSH 安全漏洞(CVE-2023-38408)补丁说明:KYSA-202308-1022 - 国产操作系统、银河麒麟、中标麒麟、开放麒麟、星光麒麟——麒麟软件官方网站
https://www.kylinos.cn/support/loophole/patch/4176.html
六、安全防护软件
政务云上的服务器默认安装主机安全防护软件云镜,如发现其进程离线或者未安装情况,可参考:
https://docs.qq.com/doc/DRlN4blBFSVJjbUxa
七、常见问题分析
1、服务器故障无法启动、忘记密码、无法访问服务器
可进入单用户模式修复,详见“IAAS资源常见问题”第四章“使用问题”12章节
https://doc.weixin.qq.com/doc/w3_m_XIERCBXihToQ?scode=AFYArwcHAAsvHtk5SkAI0AwwaTAEA
2、VNC相关问题
2.1 VNC环境下无法切换中文
通常vnc连接大都在服务端用来图形显示,远程安装第三方软件时,需要基于图形化的情况等等。如遇到需要在vnc环境下无法进行输入法切换,键入文本等操作,可按照如下方法进行输入法基于vnc环境下的配置修改。
2.1.1 常规排查方法
先检查以下两点,如果系统已经具备但还是无法切换中文输入法的,再参考2.1.2进行配置。
(1)检查fcitx相关软件包有没安装
rpm -qa | grep fcitx #如下图以x86为例
(2)检查输入法配置里面有没添加拼音输入法
2.1.2 通过修改VNC配置文件方式
(1)修改xstartup配置文件
vim /$HOME/.vnc/xstartup
注意此处:普通用户会多一级/home目录
#!/bin/sh
export GTK_IM_MODULE="fcitx"
export QT_IM_MODULE="fcitx"
export XMODIFIERS="@im=fcitx"
fcitx-autostart &
unset SESSION_MANAGER
unset DBUS_SESSION_BUS_ADDRESS
exec /usr/bin/mate-session
如下图:
(2)重启vnc服务
vncserver -kill :1
vncserver
重启vnc服务后再重新连接vnc
备注:(1)如右下角没有这个小键盘图标的,可执行fcitx -d,进行修复
(2)如下图所示打开文本然后点击右下角小键盘图标,即可输入中文
2.2 配置VNC服务开机自启
通过vncserver命令开启vnc服务情况下是没有开机自启的(也就是重启系统后需要手动启动vnc服务),如果需要配置vnc服务开机自启的可以参考以下方法进行配置。
2.2.1 修改配置文件
(1)执行以下命令拷贝配置文件
cp -r /lib/systemd/system/vncserver@.service /etc/systemd/system/vncserver@:1.service
(2)修改配置文件
执行命令编辑配置文件:vim /etc/systemd/system/vncserver@:1.service
注意:如果是远程root用户,则按照下方文档进行修改,若是其他用户则将root替替换为/home/username,其中username为其它用户名。
修改的内容如下:
[Unit]
Description=Remote desktop service (VNC)
After=syslog.target network.target
[Service]
Type=forking
WorkingDirectory=/root
User=root
Group=root
PIDFile=/root/.vnc/%H%i.pid
ExecStartPre=/bin/sh -c '/usr/bin/vncserver -kill %i > /dev/null 2>&1 || :'
ExecStart=/usr/bin/vncserver -autokill %i
ExecStop=/usr/bin/vncserver -kill %i
Restart=on-success
RestartSec=15
[Install]
WantedBy=multi-user.target
如下图:
2.2.2 配置VNC密码
执行vncpasswd命令配置VNC密码,需要输入两次相同的密码完成配置。
2.2.3 初始化服务并启动vnc服务
备注:先确保原先有没开启vnc进程,有的话先杀掉vnc进程,删掉/tmp/目录下.X11-unix、.X1-lock这两个文件,删掉/root/.vnc目录,然后再执行以下命令
systemctl daemon-reload
systemctl start vncserver@:1.service
systemctl enable vncserver@:1.service
2.3 VNC连接异常\服务起不来
2.3.1 常规排查方法
2.3.1.1 排查思路
(1)检查服务器系统是否安装了图形化界面组件:yum grouplist
(2)有没设置成graphical模式并重启系统:systemctl get-default
(3)有没安装vnc服务:rpm -qa | grep tigervnc-server
(4)vnc服务启动是否异常、监听在5901端口:
ps -aux | grep vnc
netstat -ntlp | grep vnc
2.3.1.2 解决方案
首先要确保服务器系统安装了图形化界面组件、设置成graphical模式并重启系统、安装了vnc组件并启动vnc服务,vnc服务监听在5901端口。当vnc服务启动后,通过堡垒机使用vnc连接服务器系统时如出现始终无法连接的可以尝试以下操作;堡垒机vnc访问使用的是5901端口,如服务器系统上的vnc服务监听在5902或其他端口上也可采用以下操作
(1)杀掉vnc进程
(2)删掉/tmp/目录下.X11-unix、.X1-lock这两个文件
(3)删掉/root/.vnc目录
(4)然后重新执行vnserver启动vnc,备注如果像2.2那样配置了开机自启VNC服务则执行systemctl restart vncserver@:1.service
2.3.2 特殊异常问题处理案例
2.3.2.1 缺失mate-session-manager软件包导致vnc连接黑屏
(1)问题描述:使用vnc连接服务器系统时能连接上但黑屏。
(2)排查思路:通过常规排查方法已经确认系统已安装上来图形化组件、设置成graphical模式并重启系统、安装了vnc组件并启动vnc服务,vnc服务监听在5901端口。后经查看vnc日志发现/报有关“/.vnc/xstartup:行5: /usr/bin/mate-session: 没有那个文件或目录”的信息,怀疑mate-session相关软件包异常
收集sosreport日志与正常环境系统对比,发现少了mate-session-manager相关软件包。
异常系统:
正常系统:
(3)解决方法:执行命令:yum install mate-session-manager -y,安装mate-session-manager相关软件包,并重启系统解决。
3、auditd进程内存异常
3.1 问题描述
用户使用top命令查看系统进程信息,发现auditd程序内存占用过高。如下图所示
auditd是服务器操作系统上的审计进程,此问题是由于auditd进程内存泄露、申请的内存未释放。
3.2 解决方案
3.2.1 安装补丁包
(1)ARM架构,将补丁包上传到/opt目录下,然后执行以下命令
unzip /opt/audit-3.0-5.se.10.ky10.aarch64.zip #解压压缩包
cd /opt/audit-3.0-5.se.10.ky10.aarch64 #切换到audit软件包目录下
rpm -Uvh *.rpm #升级audit软件包
systemctl restart auditd #重启audit服务
(2)X86架构:将补丁包上传到/opt目录下,然后执行以下命令
unzip /opt/audit-3.0-5.se.10.ky10.x86_64.zip #解压压缩包
cd /opt/audit-3.0-5.se.10.ky10.x86_64 #切换到audit软件包目录下
rpm -Uvh *.rpm #升级audit软件包
systemctl restart auditd #重启audit服务
(3)安装完成后可以通过以下命令去确认是否已经安装上
rpm -qa | grep audit
3.3 注意事项
如果在执行systemctl restart auditd,重启audit服务报如下图所示的信息
则先执行systemctl daemon-reload
然后再执行systemctl restart auditd
4、mate-indicators进程内存异常
4.1 问题描述
用户使用top命令查看系统进程信息,发现mate-indicators程序内存占用过高。如下图所示
mate-indicators是带有GUI图形化麒麟服务器系统右下角任务栏的一个组件包,此问题是由于mate-indicators进程内存泄露,申请的内存未释放。
4.2 解决方案
前提:mate-indicators软件包是在具有图形化界面的银河麒麟服务器系统才会被安装上,最小化安装模式没有此软件包不受影响。
4.2.1 通过安装补丁包解决
(1)ARM架构,将补丁包上传到/opt目录下,然后执行以下命令
rpm -Uvh /opt/mate-indicators-20150918kord0ukui58-10.p08.ky10.aarch64.rpm
(2)X86架构:将补丁包上传到/opt目录下,然后执行以下命令
rpm -Uvh /opt/mate-indicators-20150918kord0ukui58-10.p08.ky10.x86_64.rpm
(3)安装完成后可以通过以下命令去确认是否已经安装上
rpm -qa | grep mate-indicators
4.3 注意事项
4.3.1 如果有在通过VNC远程连接服务器的,请在安装补丁包之前关掉;
4.3.2 如果升级完补丁包后内存还未释放的,建议注销系统或重启系统。
5、修改系统语言类型
云平台下发的虚拟机默认是最小化安装模式,其默认语言采用的是英文,如安装完图形化界面组件后需要切换成中文的,则把/etc/locale.conf文件中的LANG=“en_US.UTF-8“改为LANG=“zh_CN.UTF-8”,然后重启系统。
6、auth.log文件一直输出日志导致根分区撑爆问题
经查询该问题属于rsyslog日志软件包bug引起,详请可参考:KYBA-202201-1008 - 国产操作系统、银河麒麟、中标麒麟、开放麒麟、星光麒麟——麒麟软件官方网站
https://www.kylinos.cn/support/update/13.html
解决方法:
(1)补丁包下载地址
arm架构:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/rsyslog-8.1907.0-5.p03.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/rsyslog-relp-8.1907.0-5.p03.ky10.aarch64.rpm
x86架构:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/rsyslog-8.1907.0-5.p03.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/rsyslog-relp-8.1907.0-5.p03.ky10.x86_64.rpm
(2)安装补丁包
rpm -Uvh xxx.rpm,xxx.rpm为上述两个软件包名称,两个软件包要同时一块安装
然后再执行:systemctl daemon-reload、systemctl restart rsyslog
7、ssh连接异常问题
当在堡垒机无法通过ssh连接银河麒麟服务器系统(账号密码正确情况下)时,如已配置并开起了VNC访问的话可以通过VNC连接进去系统排查,若没有则向云平台申请虚拟机控制台(裸金属系统的则为BMC)进行排查,排查手段可以参考如下。
7.1 常规排查手段
7.1.1 检查ssh服务是否正常
systemctl status sshd
如果ssh服务是异常的,可以尝试重启ssh服务:systemctl restart sshd
如果重启ssh服务后还是异常的话可以查看ssh服务详细信息:journalctl -e -u sshd
然后根据journalctl日志进行排查,通常情况下ssh服务启动异常是由于其配置文件/etc/ssh/sshd_config参数配置错误或者自行编译openssl、openssh组件导致的。
7.1.2 检查ssh服务是否监听在22端口
由于通过堡垒机进行ssh访问调用的是22端口,所以sshd服务也必须是监听在22端口(默认情况下也是监听在22端口)。
netstat -ntlp | grep ssh
7.1.3 通过/var/log/secure日志进行排查
/var/log/secure主要记录着用户登录服务器系统的相关日志,当检查到ssh服务正常且监听在22端口情况下可以通过此日志进一步排查。
7.2 ssh连接异常问题处理案例
7.2.1 无法使用root账号进行ssh登录
(1)问题描述
据客户反馈无法通过堡垒机使用ssh进行连接,并且在本机系统上也无法使用ssh root@127.0.0.1进行连接,如下图所示。
(2)排查思路以及解决方法
在排查确定ssh服务正常且监听在22端口的情况后查看到/var/log/secure日志里面发现ssh连接报有关“Failed password“相关信息,推测可能是密码输入错误或者禁用了root连接。
再进行查看/etc/ssh/sshd_config配置文件后发现如下参数禁用了root ssh连接,可以通过修改如下参数将no改为yes,然后重启ssh服务解决:systemctl restart sshd
8、开启selinux
若等保测评安全加固要求开启selinux的可参考本章节开启,不过要注意的是如原先系统有部署应用或者数据的,不排除开启selinux打了标签之后会对上层应用系统造成影响,所以建议在操作之前先备份好数据并做好业务系统保障支撑等工作。
8.1 通过security-switch命令开启selinux
selinux的启停主要是由security-switch命令来控制的,默认的系统安全级别是用户自定义模式,没有开启任何的安全模块,如下图:
通过以下命令可以开启selinux模块,执行命令后需要重启系统使配置生效:
security-switch --set custom --list selinux
重启系统后执行security-switch --get、getenforce、sestatus命令查看selinux状态为Enforcing,如下图所示
8.2 修改selunx状态
如要修改selinux状态,需要将/etc/default/grub、/etc/selinux/config配置文件进行修改,修改后需要重启系统,操作如下。
1、修改/etc/default/grub配置文件
#vi /etc/default/grub
GRUB_CMDLINE_LINUX_SECURITY=“security=selinux selinux=1 permissive=1 kysec_3adm=0”
将该项配置的“enforcing=1”修改为“permissive=1”。
2、修改/etc/selinux/config配置文件
#vi /etc/selinux/config
将SELINUX这一项修改为SELINUX=permissive
3、更新grub
Arm架构:grub2-mkconfig -o /boot/efi/EFI/kylin/grub.cfg
x86架构:grub2-mkconfig -o /boot/grub2/grub.cfg
按照CPU架构更新完grub之后重启服务器系统,重启之后查看selinux状态如下
8.3 关闭selinux
如需关闭selinux,需要修改/etc/default/grub配置文件,操作如下:
#vi /etc/default/grub
GRUB_CMDLINE_LINUX_SECURITY=“”
将“GRUB_CMDLINE_LINUX_SECURITY=”该项配置后面的内容改为空。
再通过命令重新生成grub:
Arm架构:grub2-mkconfig -o /boot/efi/EFI/kylin/grub.cfg
x86架构:grub2-mkconfig -o /boot/grub2/grub.cfg
按照CPU架构更新完grub之后重启服务器系统,重启之后查看selinux状态如下
2882
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
