什么是SELinux？

SELinux 是一種安全增強(qiáng)型 Linux 安全模塊，用于控制 subjects（例如程序、進(jìn)程等）訪問(wèn) objects（例如文件、設(shè)備等）的權(quán)限和可訪問(wèn)性。SELinux 基于政治策略，這些策略由安全策略分析家編寫，包括如何允許和拒絕系統(tǒng)中的對(duì)象和主體進(jìn)行交互。它提供了比標(biāo)準(zhǔn) Linux 安全性更高級(jí)別的訪問(wèn)控制和安全性保護(hù)。

然而，許多人想要禁用 SELinux，因?yàn)樗梢院茈y配置和管理。一些用戶可能會(huì)發(fā)現(xiàn)它導(dǎo)致他們?cè)L問(wèn)某些文件或應(yīng)用程序時(shí)遇到了麻煩。此外，由于 SELinux 根據(jù)其預(yù)定義的策略來(lái)執(zhí)行訪問(wèn)控制，這使得它很難與某些程序或服務(wù)進(jìn)行集成。

SELinux如何工作？

SELinux執(zhí)行訪問(wèn)策略，內(nèi)核在每個(gè)進(jìn)程需要訪問(wèn)文件或?qū)ο髸r(shí)將遵循該策略。根據(jù)策略，每個(gè)文件或進(jìn)程都被分配一個(gè)標(biāo)簽。因此，當(dāng)具有a：a：a標(biāo)簽的進(jìn)程需要訪問(wèn)文件（具有b：b：b標(biāo)簽的文件）時(shí)，兩者都應(yīng)匹配（除了根據(jù)策略按層次結(jié)構(gòu)進(jìn)行的MLS配置）。

在此處和這里閱讀有關(guān)標(biāo)記的更多信息。

請(qǐng)注意，禁用服務(wù)器中的SELinux會(huì)帶來(lái)很多威脅。確保您這樣做的原因不是因?yàn)榉奖?，也不是因?yàn)槲恼轮械耐茰y(cè)內(nèi)容，而是有一個(gè)有效的原因。

禁用SE Linux的缺點(diǎn)

禁用SELinux后，每個(gè)進(jìn)程都將像在普通Linux系統(tǒng)中一樣訪問(wèn)文件。無(wú)法防止濫用權(quán)利。黑客進(jìn)程可能會(huì)訪問(wèn)不需要其原始目的的機(jī)密文件，并可能被濫用。這是一個(gè)嚴(yán)重的問(wèn)題。

如果具有根權(quán)限的進(jìn)程受到攻擊，則整個(gè)系統(tǒng)處于風(fēng)險(xiǎn)之中。SELinux提供的是更嚴(yán)格的安全性。在此處了解更多風(fēng)險(xiǎn)信息。

如果它是一種安全功能，為什么要禁用SELinux？因?yàn)橥ǔO端的安全功能會(huì)成為一種痛苦。SELinux也是如此。因?yàn)樗鼘?duì)哪些文件可由哪些進(jìn)程訪問(wèn)太嚴(yán)格，而您在服務(wù)器上可能會(huì)難以使各種服務(wù)正常工作。

例如，如果/var/lib中的文件歸root所有，并具有000的文件權(quán)限，則需要這些文件的程序?qū)⒉粫?huì)運(yùn)行。

此外，在調(diào)試應(yīng)用程序時(shí)，SELinux會(huì)成為問(wèn)題。禁用它可以省去您的麻煩。

提示：在SELinux中使用被動(dòng)模式一個(gè)相對(duì)較好的做法是在部署應(yīng)用程序或調(diào)試問(wèn)題之前將SELinux置于被動(dòng)模式中，然后在此之后重新啟用它。

被動(dòng)模式的工作方式就像禁用了SELinux，但是同時(shí)，它將記錄下使SELinux處于啟用狀態(tài)的日志。

這樣，您可以從/var/log/messages日志中了解如果啟用SELinux會(huì)發(fā)生什么情況。檢查拒絕信息。

在CentOS和其他Linux發(fā)行版中禁用SELinux

第1步：打開配置文件/ etc / selinux / config或其符號(hào)鏈接/ etc / sysconfig / selinux

第2步：將行從SELINUX=enforcing更改為SELINUX=disabled。

第3步：重啟系統(tǒng)或使用setenforce 0將SELinux模式更改為當(dāng)前會(huì)話，更改將在重啟時(shí)生效。

審核編輯：劉清