Linux基操—11.关selinux

永久生效

[root@wg ~]# getenforce
Enforcing

[root@wg ~]# vi /etc/selinux/config
| SELINUX=disabled
| # 参数可选enforcing、permissive、disabled

[root@wg ~]# reboot
[root@wg ~]# getenforce
Disabled

　

临时生效

[root@wg ~]# getenforce
Enforcing

[root@wg ~]# /usr/sbin/sestatus -v 
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      31
...

[root@wg ~]# setenforce 0
[root@wg ~]# getenforce
Permissive

　

工作模式

Disable工作模式（关闭模式）

在 Disable 模式中，SELinux 被关闭，默认的 DAC 访问控制方式被使用。对于那些不需要增强安全性的环境来说，该模式是非常有用的。

例如，若从你的角度看正在运行的应用程序工作正常，但是却产生了大量的 SELinux AVC 拒绝消息，最终可能会填满日志文件，从而导致系统无法使用。在这种情况下，最直接的解决方法就是禁用 SELinux，当然，你也可以在应用程序所访问的文件上设置正确的安全上下文。

需要注意的是，在禁用 SELinux 之前，需要考虑一下是否可能会在系统上再次使用 SELinux，如果决定以后将其设置为 Enforcing 或 Permissive，那么当下次重启系统时，系统将会通过一个自动 SELinux 文件重新进程标记。

关闭 SELinux 的方式也很简单，只需编辑配置文件 /etc/selinux/config，更改为 SELINUX=disabled 即可，重启系统后，SELinux 就被禁用了。

　
Permissive工作模式（宽容模式）

在 Permissive 模式中，SELinux 被启用，但安全策略规则并没有被强制执行。当安全策略规则应该拒绝访问时，访问仍然被允许。然而，此时会向日志文件发送一条消息，表示该访问应该被拒绝。

--- SELinux Permissive 模式主要用于以下几种情况： ---

> 审核当前的 SELinux 策略规则；
> 测试新应用程序，看看将 SELinux 策略规则应用到这些程序时会有什么效果；
> 解决某一特定服务或应用程序在 SELinux 下不再正常工作的故障。

某些情况下，可使用 audit2allow 命令来读取 SELinux 审核日志并生成新的 SELinux 规则，从而有选择性地允许被拒绝的行为，而这也是一种在不禁用 SELinux 的情况下，让应用程序在 Linux 系统上工作的快速方法。

　
Enforcing工作模式（强制模式）

从此模式的名称就可以看出，在 Enforcing 模式中， SELinux 被启动，并强制执行所有的安全策略规则。