Linux優化之關閉SELinux
selinux簡介
SELinux(Security-Enhanced Linux) 是美國國家安全局(NSA)對於強制訪問控制的實現,是 Linux歷史上最傑出的新安全子系統。因為要對強制訪問進行控制,所以這個功能讓系統管理員又愛又恨,一大多數生產環境都是把他關閉,安全問題會通過其他手段來實現。
SELinux配置文件路徑在 /etc/selinux/config。其文件內容如下:
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
SELINUX有「disabled」「permissive」,「enforcing」3種選擇。
permissive就是Selinux有效,但是即使你違反了策略的話它讓你繼續操作,但是把你的違反的內容記錄下來。在我們開發策略的時候非常的有用。相當於Debug模式。
Enforcing就是你違反了策略,你就無法繼續操作下去。
查看SELinux狀態:
1、/usr/sbin/sestatus -v ##如果SELinux status參數為enabled即為開啟狀態,若為disabled則為關閉狀態。
2、getenforce ##也可以用這個命令檢查
關閉SELinux:
1、臨時關閉(不用重啟機器):
setenforce命令:
##setenforce 0 設置SELinux 成為permissive模式
##setenforce 1 設置SELinux 成為enforcing模式
2、修改配置文件(需要重啟機器才能生效):
修改/etc/selinux/config 文件
將SELINUX=enforcing改為SELINUX=disabled(使用sed命令修改)
最後重啟機器即可
Linux優化之關閉SELinux