Linux由于其出色的安全实现特性,如SELinux(Security-EnhancedLinux),被认为是当今最安全的操作系统之一。对于外行,SELinux被描述为在内核中强制执行的强制访问控制(MAC)安全构造。SELinux提供了一种方法来强制实施某些安全策略,否则系统管理员无法有效地强制执行这些策略。当您安装RHEL/CentOS或几个衍生产品时,默认情况下会启用SELinux功能或服务,因为您系统上的某些应用程序实际上可能不支持此安全机制。因此,要使这些应用程序正常运行,您必须禁用或关闭SELinux。在本操作指南中,我们将介绍检查SELinux状态并在CentOS/RHEL和Fedora中禁用SELinux以防启用的步骤。如何在Linux中禁用SELinux首先检查系统上SELinux的状态,您可以通过运行以下命令来执行此操作:[linuxidc@localhostlinuxidc.com]$sestatus返回以下内容:SELinuxstatus:enabledSELinuxfsmount:/sys/fs/selinuxSELinux根目录:/etc/selinuxLoaded策略名称:targeted当前模式:来自配置文件的enforcingMode:enforcingPolicyMLS状态:enabledPolicydeny_unknown状态:allowedMax内核策略版本:31接下来,继续在系统上禁用SELinux,这可以暂时或永久地完成,取决于您要实现的目标。暂时禁用SELinux要暂时禁用SELinux,请以root身份发出以下命令。在CentOS6.7及之前的版本中,运行以下命令:#echo0>/selinux/enforce这将暂时禁用SELinux,使用该命令重新打开或重启系统后将恢复。要重新打开它,只需再次运行以下命令:#echo1>/selinux/enforce或者,您可以使用setenforce工具,如下所示。在CentOS7中可以执行,#setenforce0暂时设置SELinux模式(Mode)为Permissive,相当于让它继续运行,监控并记录信息,但不做任何拦截动作,相当于暂时禁用SELinux。但是重启系统后又会恢复到原来的状态。也可以随时恢复,或者暂时启用,#setenforce1上面的命令是通过修改配置文件/selinux/enforce的内容为'1'或'0'来启用或禁用SELinux服务。否则,请使用Permissive选项而不是0,如下所示:#setenforcePermissive上述方法仅在下次重新启动时有效,因此要永久禁用SELinux,请转到下一节。永久禁用SELinux要永久禁用SELinux,请使用您喜欢的文本编辑器打开文件/etc/sysconfig/selinux,如下所示:SELinux强制(SELinuxEnforcing)模式,然后将指令SELinux=enforcing更改为SELinux=disabled如下所示.SELINUX=disabled永久禁用SELinux然后,保存并退出文件,要使更改生效,需要重新启动系统,然后使用sestatus命令检查SELinux的状态,如下所示:[linuxidc@localhostlinuxidc.com]$sestatus返回以下结果:SELinux状态:禁用总之,我们已经完成了一些简单的步骤,您可以通过这些步骤在CentOS/RHEL和Fedora上禁用SELinux。在这个话题下似乎也没什么可讨论的,但除此之外,了解更多关于SELinux的知识对于那些有兴趣探索Linux安全特性的人来说特别有用。
