SELinux配置文件
我们知道,SELinux是预先配置的,可以在不进行任何手动配置的情况下使用SELinux功能。然而,一般来说,预先配置的SELinux设置很难满足所有的Linux系统安全需求。
SELinux配置只能有root用户进行设置和修改。配置和策略文件位于/etc/selinux目录中,主配置文件位/etc/selinux/config文件,该文件中的内容如下:[root@localhost ~]# vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
#指定SELinux的运行模式。有enforcing(强制模式)、permissive(宽容模式)、disabled(不生效)三种模式
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
#指定SELinux的默认策略。有 targeted(针对性保护策略,是默认策略)和 mls(多级安全保护策略)两种策略
主配置文件中,除去以‘#’符号开头的注释行,有效配置参数仅有2行。其中,SELinux=enforcing为SELinux默认的工作模式,有效值还可以是permissive和disabled;SELINUXTYPE=targeted用于指定SELinux的默认策略。有关SELinux 3中工作默认的介绍,可以阅读《SELinux的工作模式》一节;有关SELinux策略,可阅读《SELinux Targeted、MLS和Minimum策略》一节。
这里需要注意,如果从强制模式(enforcing)、宽容模式(permissive)切换到关闭模式(disabled),或者从关闭模式切换到其他两种模式,则必须重启Linux系统才能生效,但是强制模式和宽容模式这两种模式互相切换不用重启Linux系统就可以生效。这是因为SELinux是整合到Linux内核中的,所以必须重启才能正确关闭和启动。而且,如果从关闭模式切换到启动模式,那么重启Linux系统的速度会比较慢,那是因为需要重新写入安全上下文信息。
SELinux工作模式
除了通过配置文件可以对SElinux进行工作模式的修改之外,还可以使用命令查看和修改SELinux工作模式。
首先,查看系统当前SELinux的工作模式,可以使用getenforce命令;而如果想要查看配置文件中的当前模式和模式设置,可以使用sestatus命令,下面的代码显示了这两个命令:[root@localhost ~]# getenforce
#查询SELinux的运行模式
Enforcing
#当前的SELinux是强制模式
[root@localhost ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 24
Policy from config file: targeted
除可以查询SELinux的运行模式之外,也可以修改SELinux的运行模式,即使用setenforce命令。不过需要注意,setenforce命令只能让SELinux在enforcing和permissive两种模式之间进行切换。如果从启动切换到关闭,或从关闭切换到启动,则只能修改配置文件,setenforce命令就无能为力了。
setenforce命令的基本格式如下:[root@localhost ~]# setenforce 选项
选项:0: 切换成 permissive(宽容模式);
1: 切换成 enforcing(强制模式);
例如:[root@localhost ~]# setenforce 0
#切换成宽容模式
[root@localhost ~]# getenforce
Permissive
[root@localhost ~]# setenforce 1
#切换成强制模式
[root@localhost ~]# getenforce
Enforcing
本文来自投稿,不代表访得立场,如若转载,请注明出处:http://www.found5.com//view/1059.html