SELinux 模式
SELinux 拥有三个基本的操作模式,当中 Enforcing 是缺省的模式。此外,它还有一个 targeted 或 mls 的修饰语。这管制 SELinux 规则的应用有多广泛,当中 targeted
是较宽松的级别。
- Enforcing: 这个缺省模式会在系统上启用并实施 SELinux 的安全性政策,拒绝访问及记录行动
- Permissive: 在 Permissive 模式下,SELinux 会被启用但不会实施安全性政策,而只会发出警告及记录行动。Permissive 模式在排除 SELinux 的问题时很有用
- Disabled: SELinux 已被停用
1.sestatus -v
# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: enforcing
Policy version: 21
Policy from config file: targeted
如果SELinux status参数为enabled即为开启状态
临时关闭(不用重启机器):
setenforce 0 #设置SELinux 成为permissive模式, setenforce 1 设置SELinux 成为enforcing模式
2.修改配置文件需要重启机器
修改/etc/selinux/config 文件
将SELINUX=enforcing改为SELINUX=disabled
重启机器即可
3.日志文件
默认情况下,SELinux的日志信息是由Linux审计系统auditd写在 /var/log/audit/audit.log里
autitd守护进程未启动,则写在/var/log/messages里
4.利用 audit2allow 创建自定 SELinux 政策模块
grep httpd /var/log/audit/audit.log | audit2allow -M httpd
5.利用 semodule 这个指令将httpd政策模块装入现有的 SELinux 政策内
semodule -i httpd.pp