怎么关闭selinux功能(selinux是为美国国家安全局开发的功能)
如果你安装完Apace或是nginx等服务都不能正常读写或操作怎么办?
SeLinux是Security-Enhanced Linux的缩写,表示“安全增强型Linux”,他是美国国家安全局在linux开源社区帮助下开发的MAC的安全子系统,其中MAC表示“强制访问控制”,指一种由操作系统约束的访问控制程序。
传说中的界面
真实生产环境,一般都有前置堡垒机 在做测试或实验时,如果不关,很多服务都不能正常访问比如nginx apach等等服务都会被selinux 拦截
一般安装linux课程时都把SELinux与iptables安排在后面,使初学者配置linux服务器时不成功,却没有头绪,那是因为在RedHatlinux操作系统中默认开启了防火墙,SELinux也处于启动状态,一般状态为enforing。致使很多服务端口默认是关闭的。
所以好多服务初学者明明配置文件正确,等验证时有时连ping也ping不通。建议初学者在未学到SELlinux与iptables之前,配置服务器把这两项都关掉。
iptables -F 清除防火墙规则
systemctl stop firewalld 关闭防火墙服务
systemctl disable firewalld 开机禁用防火墙服务
怎么查看SElinux状态呢?getenforce命令
CentOS系统如何快速关闭SELINUX
我们经常由于CentOS系统默认系统的安全性配置导致些莫名其妙的问题,比如SElinux本来是用于安全子系统的权限控制,可是搞不好就发现限制多多,我们可以用如下方法快速关闭SElinux。
/usr/sbin/setenforce 0 立刻关闭SELINUX(0)并不是关闭而是把SELINUX的模式调整为宽容模式(permissive)这个模式就只是记录并提示风险
当SeLinux选permissive(宽容模式)后,系统认为SeLinux有效,就能正常登录。而且,对系统资源的管控也只是打印警告信息,不作实质性的限制,在开发者非要关闭SeLinux的情况下,我们可以用permissive模式代替disabled,不会影响程序的正常运行。
/usr/sbin/setenforce 1 立刻启用 SELINUX
加到系统默认启动里面
echo "/usr/sbin/setenforce 0" >> /etc/rc.local
-----------------------------------
SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换...
vi /etc/selinux/config(也朋友们说是/etc/sysconfig/selinux文件,其实两个之间是链接关系,随便改其中一个,另一个也改了)
自动化部署安装linux时一定要
**说明:**修改config文件后,需要重启实例,但直接重启实例将会出现系统无法启动的错误。因此在重启之前需要在根目录下新建autorelabel文件。
在根目录下新建隐藏文件autorelabel,实例重启后,SELinux会自动重新标记所有系统文件。
touch /.autorelabel
否则就会导致系统无法启动,只能进行恢复模式了,如果是虚拟机可以恢复快照
风险点
由于SeLinux会限制部分系统资源访问权限,所以很多开发者很喜欢禁用SeLinux,在布署程序的自动化角本中,也默认加入了禁用SeLinux的代码。这样会导致用户在安装Centos7的计算机上所有帐号都无法登录(包括root),但使用SecureCRT等软件连Ssh却可以正常登录。这还是会造成较大风险,一旦网络环境变化,该机器就会变成一个谁都无法登录的机器。
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com