linux 关闭安全策略,RedHat/CentOS8【SELinux】引起的安全策略问题解决方案

最新推荐文章于 2024-05-13 11:53:26 发布
最新推荐文章于 2024-05-13 11:53:26 发布
阅读量1.6k 收藏 1
点赞数
文章标签: linux 关闭安全策略

SELinux 全称【安全增强型 Linux(Security-Enhanced Linux)】,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。

以 MongoDB 引发的 SELinux 异常为例:

当使用 systemctl 启动应用程序时,如果提示类似下图错误,则可能是由 SELinux 引起的安全策略问题。

a13f974f8bae

SELinux 问题

解决方案一(最安全,首选方案):

方法一

在运行程序(无论成功或者失败)后,SELinux 会生成 audit 日志,可以从日志中导出所有不符合策略,生成策略源文件和对应的编译文件,直接安装。操作如下:

[centos@host ~]$ journalctl -xe

# SELinux is preventing ...

# allow this access for now by executing:

# ausearch -c 'mongod' --raw | audit2allow -M my-mongod

# semodule -X 300 -i my-mongod.pp

[centos@host ~]$ sudo ausearch -c 'mongod' --raw | sudo audit2allow -M my-mongod

[centos@host ~]$ sudo semodule -X 300 -i my-mongod.pp

注意:这个过程需要反复若干次,因为安全策略问题只能发现一条解决后,才能发现另一条。

方法二

使用文本编辑器在创建 "my-mongod.te" 策略源文件,例如:

[centos@host ~]$ sudo gedit my-mongod.te

编写以下内容并保存:

module my-mongod 1.0;

require {

type mongod_t;

type cgroup_t;

class file { getattr open read };

}

#============= mongod_t ==============

#!!!! This avc is allowed in the current policy

allow mongod_t cgroup_t:file { getattr open read };

编译并安装策略文件:

[centos@host ~]$ sudo checkmodule -M -m -o my-mongod.mod my-mongod.te

[centos@host ~]$ sudo semodule_package -o my-mongod.pp -m my-mongod.mod

[centos@host ~]$ sudo semodule -X 300 -i my-mongod.pp

注意:这个方法一般在所有策略都已发现的情况下比较适用。

解决方案二(最有效,兜底方案):

第一步,临时关闭 SELinux。

[centos@host ~]$ sudo setenforce 0

第二步,修改 SELinux 配置文件,永久关闭 SELinux。

使用文本编辑器打开"/etc/selinux/config"文件:

[centos@host ~]$ sudo gedit /etc/selinux/config

将 "SELINUX" 参数设置为:"permissive" 或者 "disabled",并保存:

# enforcing - 表示启用 SELinux 安全策略。

# permissive - 表示启用 SELinux 安全策略,但不强制验证。如果执行第一步可以正常运行,则建议设置此值。

# disabled - 关闭 SELinux 安全策略,相当于没有安装 SELinux。

SELINUX=disabled

重启服务器:

[centos@host ~]$ sudo reboot

电眼樱桃女
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于Linux系统安全策略设置操作
qq_61523293的博客
05-17 594
Linux系统其实大都默认安装了这个软件可以给系统提供一些比较基础可靠的防护。Linux本身是具有两个安全防火墙用来对系统有基础的防护,第一个保护的防火墙就是由iptables通过IP过滤机制来构成,因为iptabales可以较为直观地对系统的运行情况等起到监视作用,可以较为直接地阻挡一些恶意的攻击,来保护系统让系统不被破坏攻击。服务是否应用了libwrapped库文件来反映tcp_wrappers防火墙的局限性,如果有应用到则可以使用这个防火墙,如果没有应用到,这个防火墙的使用可能就会充满坎坷。
Linux系统安全策略.doc
01-27
Linux系统安全策略 详细分析Linux系统的安全机制,找出它可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的
启动项目时出现SELinux is preventing
最新发布
weixin_61367575的博客
05-13 328
SELinux正在阻止systemd对文件AB.sevice进行读取访问。启动项目时出现SELinux is preventing****方法一:暂时禁用SELinux。方法二:禁用SELinux
防火墙和安全策略关闭
weixin_43472267的博客
01-13 1177
1.输入命令service firewalld stop防火墙关闭,但是下次开机还会自动启动 2.用systemctl disable firewalld这是设置开机禁用防火墙 修改后一定要刷新一下配置, 让内核参数立即生效。
取消linux 安全策略
康师父Blog
02-08 1715
在搭建个人测试环境时,在没有分配用户组的情况,下ftp上传下载会提示无法启动传输,可以使用以下命令,取消安全策略。该命令只限个人开发环境使用。[root@localhost home]# getenforce Enforcing[root@localhost home]# setenforce 0 ...
linux关闭涉及安全的服务,Linux关闭不必要服务减少漏洞
weixin_36284848的博客
05-02 536
Linux关闭一些不必要使用的服务进程以减少漏洞。因为是桌面机应用,因此只保留必要的服务就可以了。下面是一个例子,基本上可以满足用户需要。#可以使用chkconfig --list来查看系统打开的服务进程#使用chkconfig --del可以删除指定的服务进程#可以将/etc/init.d和/etc/xinet.d下的对应脚本移到安全的目录下#更改脚本运行权限#建议保留的服务进程anacron...
Linux安全配置关闭
huanglongdejia的博客
07-17 3234
1.关闭防护墙 chkconfig列出所用的服务的状态 关闭防火墙:chkconfig iptables off 2.关闭Linux安全
RedHat7/CentOS7最小化安装Oracle11G所需要的依赖包
12-06
2. **关闭防火墙和SELinux**:Oracle数据库通常需要开放特定端口,因此建议在安装过程中关闭防火墙(`systemctl stop firewalld`)和禁用SELinux(修改`/etc/selinux/config`文件,将`SELINUX=enforcing`改为`...
RedHatCentOS日常运维最佳实践.docx
10-15
CentOS是Red Hat Enterprise Linux (RHEL)的一个克隆版本,它们之间在功能上基本保持一致,但CentOS提供免费的长期支持,适合那些寻求经济高效解决方案的企业。选择CentOS的主要原因包括其与RHEL的高度相似性、较长...
linux服务器系统CentOS、uBuntu、Gentoo、FreeBSD、Debian的比较
01-20
CentOS其实是Redhat的内核,感觉是会成熟稳定一点,相比旧Redhat,他多了一个yum的命令,学Debian一样自动安装软件;但我感觉CentOS的可以Yum的东西相比Debian或Ubuntu,实在太少了;CentOS游走在年轻与成熟之间,它...
centos7单机维护模式重置密码
04-29
CentOS 7单机维护模式重置密码 什么是单机维护模式 在 Linux 系统中,有一个特殊的模式叫单机维护模式(Single-User Mode),也称为...这些步骤适用于 CentOS 7 系统,但是其他 Linux 发行版也提供类似的解决方案
centos 6.5 oracle 11g 安装 删除 问题总结
09-18
本文总结了 CentOS 6.5 上安装 Oracle 11g 时可能遇到的问题解决方案,涵盖了环境变量配置、系统设置、图形化安装等方面的知识点。 一、安装修改本地 yum 源 在安装 Oracle 11g 之前,需要先安装修改本地 yum 源...
linux安全策略拦截,Linux安全策略设置
weixin_34867823的博客
05-16 761
一、 Linux安全设置1、口令长度限制设定用户默认密码长度不小于10位(数字、字母、特殊字符) 说明:该限制只是警告提示,不是强制要求检查项:设置用户密码最小长度加固建议:在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上检查项:设置用户密码数字位数加固建议:在/etc/security/pwquality.conf...
CentOS-关闭防火墙和禁用安全策略
小道士写程序
03-07 745
linux
CentOS 7.x 重新启用SELinux,系统无法启动
AMimiDou_212
01-31 5149
CentOS 7.x 重新启用SELinux,系统无法启动一、SELinux ( Security-Enhanced Linux)简述SELinux 的功能:从多方面监控违法行为二、查看当前SElinux 状态:1. 查看SElinux详细状态2. 查看SELinux 当前运行模式2.1 SELinux 运行模式2.2 查看SElinux三、直接由disabled启用SELinux 导致Linux...
CentOSRedHat红帽系统) 开启/关闭服务,启用、禁用开机自启动,systemctl 工具使用
热门推荐
【小石头的茅坑】
04-29 39万+
systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。 以firewalld.service为例 启动一个服务:systemctl start firewalld.service 关闭一个服务:systemctl stop firewalld.service 重启一个服务:systemctl restart firewal...
Centos8上安装mysql8遇到SELinux is preventing /usr/libexec/mysqld from write access on the directory mysql
weixin_42181890的博客
03-02 3905
问题描述 mysql8安装后数据默认存储路径/var/lib/mysql,修改默认存储路径后遇到如下报错: SELinux is preventing /usr/libexec/mysqld from write access on the directory mysql. For complete SELinux messages run: sealert -l 233b1c8f-ef7> 网上做法 关闭selinux。并不是很明智的做法,会引发潜在的安全问题 完全复制默认安装路径下的文件及权限,
SELinux拦截sshd导致ssh连接失败的问题: {execmem}没有权限
Koevas的博客
09-26 3473
问题描述: 近日服务器ssh无法通过远程连接上去,连接时服务器的SELiunx发起警报sshd被拦截 问题排查: 1.重启sshd服务 systemctl restart sshd 2.查看sshd的运行状态 systemctl status sshd sshd.service failed 发现sshd进程启动失败,但从这里看不出失败的原因 3.查看linux系统日志 cat /var/log/messages 翻到最末尾端,发现一条有用的信息: /usr/sbin/sshd: error
linux安装sealert工具,求助,CentOS7的SELinux有几个Alert
weixin_33812391的博客
05-11 133
大家好,我刚刚重装的centos7版本是:Linux localhost.localdomain 3.10.0-327.3.1.el7.x86_64 #1 SMP Wed Dec 9 14:09:15 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux现在SELinux有几个Alert,过了一段时间后,我的光驱就弹出了. 不知道是不是被攻击?该怎么办?谢谢Alert 1...
假设在redhat/CentOS系统中有enp5s0和enp6s0两个接口,如何创建出一个网桥并将两个接口填到网桥中
06-11
redhat/CentOS系统中,可以通过以下步骤创建一个网桥并将两个接口添加到网桥中: 1. 安装bridge-utils: ``` yum install bridge-utils ``` 2. 创建网桥: ``` brctl addbr br0 ``` 3. 将网桥设置为up状态: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值