16.5.3 【Linux】SELinux 三种模式的启动、关闭与观察

这篇具有很好参考价值的文章主要介绍了16.5.3 【Linux】SELinux 三种模式的启动、关闭与观察。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

并非所有的 Linux distributions 都支持 SELinux 的,所以你必须要先观察一下你的系统版本为何。 目前 SELinux 依据启动与否,共有三种模式,分别如下:

enforcing:强制模式,代表 SELinux 运行中,且已经正确的开始限制 domain/type 了;

permissive:宽容模式:代表 SELinux 运行中,不过仅会有警告讯息并不会实际限制

domain/type 的存取。这种模式可以运来作为 SELinux 的 debug 之用;

disabled:关闭,SELinux 并没有实际运行。

16.5.3 【Linux】SELinux 三种模式的启动、关闭与观察,Linux,linux,运维,服务器

                             图16.5.4、SELinux 的三种类型与实际运行流程图示意

并不是所有的程序都会被 SELinux 所管制,因此最左边会出现一个所谓的“有受限的程序主体”。通过 ps -eZ 去观察有没有受限 (confined )。

16.5.3 【Linux】SELinux 三种模式的启动、关闭与观察,Linux,linux,运维,服务器

在目前 target 这个政策下面,只有第三个类型 (type) 字段会有影响,因此我们上表仅列出第三个字段的数据而已。 我们可以看到, crond 确实是有受限的主体程序,而 bash 因为是本机程序,因此就是不受限 (unconfined_t) 的类型。也就是说, bash 是不需要经过图 16.5.4 的流程,而是直接去判断 rwx 而已。

首先,如果是Disabled 的模式,那么 SELinux 将不会运行,当然受限的程序也不会经过 SELinux , 也是直接去判断 rwx 而已。那如果是宽容 (permissive) 模式呢?这种模式也是不会将主体程序抵挡。

Enforcing 模式,就是实际将受限主体进入规则比对、安全本文比对的流程,若失败,就直接抵挡主体程序的读写行为,并且将他记录下来。 如果通通没问题,这才进入到rwx 权限的判断。

通过getenforce可以知道目前的SELinux模式:

16.5.3 【Linux】SELinux 三种模式的启动、关闭与观察,Linux,linux,运维,服务器

使用sestatus可以知道SELinux的政策:

16.5.3 【Linux】SELinux 三种模式的启动、关闭与观察,Linux,linux,运维,服务器

如上所示,目前是启动的,而且是 Enforcing 模式,而由配置文件查询得知亦为 Enforcing 模式。 此外,目前的默认政策为 targeted 这一个。配置文件是/etc/selinux/config。看看内容:

16.5.3 【Linux】SELinux 三种模式的启动、关闭与观察,Linux,linux,运维,服务器

若有需要修改默认政策的话,就直接改 SELINUX=enforcing。

SELinux 的启动与关闭

上面是默认的政策与启动的模式!你要注意的是,如果改变了政策则需要重新开机;如果由enforcing 或 permissive 改成 disabled ,或由 disabled 改成其他两个,那也必须要重新开机。这是因为 SELinux 是整合到核心里面去的, 你只可以在 SELinux 运行下切换成为强制(enforcing) 或宽容 (permissive) 模式,不能够直接关闭 SELinux 的! 如果刚刚你发现getenforce 出现 disabled 时,请到上述文件修改成为 enforcing 然后重新开机。

如果从 disable 转到启动 SELinux 的模式时, 由于系统必须要针对文件写入安全性本文的信息,因此开机过程会花费不少时间在等待重新写入 SELinux 安全性本文(有时也称为 SELinux Label) ,而且在写完之后还得要再次的重新开机一次。等到下次开机成功后,再使用 getenforce 或 sestatus 来观察看看有否成功的启动到 Enforcing 的模式。

如果你已经在 Enforcing 的模式,但是可能由于一些设置的问题导致 SELinux 让某些服务无法正常的运行, 此时你可以将 Enforcing 的模式改为宽容 (permissive) 的模式,让SELinux 只会警告无法顺利连线的讯息, 而不是直接抵挡主体程序的读取权限。让 SELinux模式在 enforcing 与 permissive 之间切换的方法为:

16.5.3 【Linux】SELinux 三种模式的启动、关闭与观察,Linux,linux,运维,服务器

setenforce 无法在 Disabled 的模式下面进行模式的切换。

在某些特殊的情况下面,你从 Disabled 切换成 Enforcing 之后,竟然有一堆服务无法顺利启动,都会跟你说在 /lib/xxx 里面的数据没有权限读取,所以启动失败。这大多是由于在重新写入 SELinux type (Relabel) 出错之故,使用 Permissive 就没有这个错误。最简单的处理办法就是在Permissive的状态下,使用“ restorecon -Rv / ”重新还原所有SELinux 的类型。文章来源地址https://www.toymoban.com/news/detail-659916.html

到了这里,关于16.5.3 【Linux】SELinux 三种模式的启动、关闭与观察的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Centos上 关闭Linux防火墙(iptables) 及 SELinux

    一、关闭防火墙 1、重启后永久性生效: 开启: chkconfig iptables on 关闭: chkconfig iptables off 2、即时生效,重启后失效: 开启: service iptables start 关闭: service iptables stop 在开启了防火墙时,做如下设置,开启相关端口,修改 /etc/sysconfig/iptables 文件,添加以下内容: -A INPUT

    2024年02月08日
    浏览(41)
  • SELinux、SELinux运行模式、破解Linux系统密码、firewalld防火墙介绍、构建基本FTP服务、systemd管理服务、设置运行模式

    作用:负责域名解析的服务器,将域名解析为IP地址 /etc/resolv.conf:指定DNS服务器地址配置文件 ip命令(Linux最基础的命令) 1.查看IP地址 2.临时添加IP地址 3.删除临时IP地址 ping 命令,测网络连接 -c 指定ping包的个数 •常见的日志文件 /var/log/messages 记录内核消息、各种服务的公

    2024年01月18日
    浏览(45)
  • 经典的设计模式16——观察者模式

    定义: 定义了一种一对多的依赖关系,让多个观察者对象同时监听某一个主题对象。这个主题对象在状态变化时,会通知所有的观察者对象,使得他们能够自动更新自己。 目标和观察者:一对多 单向依赖。通知的顺序绝不依赖于通知的顺序,多个观察者之间的功能是平行的

    2024年02月09日
    浏览(36)
  • Linux端Kibana启动、关闭 &进程查找

    启动 【注意:Kibana不建议使用root用户直接运行,如使用root,需加上 --allow-root 。建议新建普通用户,使用普通用户运行。】 前台启动:在Kibana安装目录下运行 ./bin/kibana 即可启动Kibana进程。 后台启动: nohup ./kibana 查看进程 Kibana是5601对外的 tcp 端口,使用 netstat -tunlp|grep 5

    2024年02月12日
    浏览(44)
  • linux服务器启动、关闭、重启命令

    关机命令: 1、halt 立刻关机 2、poweroff 立刻关机 3、shutdown -h now 立刻关机(root用户使用) 4、shutdown -h 10 10分钟后自动关机 如果是通过shutdown命令设置关机的话,可以用shutdown -c命令取消重启 5、init0 停机或者关机 重启命令: 1、reboot 立即重启 2、shutdown -r now 立刻重启(root用户使

    2024年02月15日
    浏览(85)
  • linux 如何查看es进程,Linux---关闭Elasticsearch进程,并重新启动

    查看ES进程: 执行命令:ps -ef | grep elasticsearch 如果有elasticsearch进程,则会返回包含elasticsearch的进程信息,如下所示: 如果没有elasticsearch进程,则不会返回任何信息。 关闭ES进程: 执行命令:sudo systemctl stop elasticsearch 等待一段时间,直到ES进程完全停止。 重新启动

    2024年02月11日
    浏览(51)
  • 16_Linux内核启动流程

    目录 链接脚本vmlinux.Ids Linux内核入口stext mmap_switched函数 start_kernel函数 rest_init函数 init进程 要分析Linux启动流程,同样需要先编译一下Linux源码,因为有很多文件是需要编译才会生成的。首先分析Linux内核的连接脚本文件arch/arm/kemel/vmlinux.lds,通过链接脚本可以找到Linux内核的第一行

    2024年02月07日
    浏览(58)
  • Ubuntu----Linux命令-----防火墙(查看、关闭、启动)

    一、查看防火墙状态 命令:ufw status 说明:         ·活动:防火墙是开启的         ·不活动:防火墙是关闭的 二、开启防火墙 命令:sudo ufw enable 开启防火墙后,可以查看防火墙状态 三、关闭防火墙 命令:sudo ufw disable

    2024年02月09日
    浏览(45)
  • 二十三种设计模式第十六篇--观察者模式

    观察者模式是一种行为型设计模式,它建立了一种对象间的一对多依赖关系,使得当一个对象的状态发生变化时,所有依赖于它的对象都会得到通知并自动更新。这种模式可以实现对象间的松耦合通信,提高系统的可扩展性和灵活性。 观察者模式的核心是两个角色:主题(

    2024年02月12日
    浏览(51)
  • Linux下Oracle的数据库和监听启动关闭命令

    sqlplus /nolog conn /as sysdba connect sys/123456 as sysdba; (123456为用户密码) startup startup命令它有三种情况: 第一种:不带参数,启动数据库实例并打开数据库,以便用户使用数据库,在多数情况下,使用这种方式! 第二种:带nomount参数,只启动数据库实例,但不打开数据库,在你希

    2024年02月04日
    浏览(85)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包