什么是SELinux？SELinux如何工作？

什么是SELinux？

SELinux 是一種安全增強(qiáng)型 Linux 安全模塊，用于控制 subjects（例如程序、進(jìn)程等）訪問 objects（例如文件、設(shè)備等）的權(quán)限和可訪問性。SELinux 基于政治策略，這些策略由安全策略分析家編寫，包括如何允許和拒絕系統(tǒng)中的對象和主體進(jìn)行交互。它提供了比標(biāo)準(zhǔn) Linux 安全性更高級別的訪問控制和安全性保護(hù)。

然而，許多人想要禁用 SELinux，因為它可以很難配置和管理。一些用戶可能會發(fā)現(xiàn)它導(dǎo)致他們訪問某些文件或應(yīng)用程序時遇到了麻煩。此外，由于 SELinux 根據(jù)其預(yù)定義的策略來執(zhí)行訪問控制，這使得它很難與某些程序或服務(wù)進(jìn)行集成。

SELinux如何工作？

SELinux執(zhí)行訪問策略，內(nèi)核在每個進(jìn)程需要訪問文件或?qū)ο髸r將遵循該策略。根據(jù)策略，每個文件或進(jìn)程都被分配一個標(biāo)簽。因此，當(dāng)具有a：a：a標(biāo)簽的進(jìn)程需要訪問文件（具有b：b：b標(biāo)簽的文件）時，兩者都應(yīng)匹配（除了根據(jù)策略按層次結(jié)構(gòu)進(jìn)行的MLS配置）。

在此處和這里閱讀有關(guān)標(biāo)記的更多信息。

請注意，禁用服務(wù)器中的SELinux會帶來很多威脅。確保您這樣做的原因不是因為方便，也不是因為文章中的推測內(nèi)容，而是有一個有效的原因。

禁用SE Linux的缺點

禁用SELinux后，每個進(jìn)程都將像在普通Linux系統(tǒng)中一樣訪問文件。無法防止濫用權(quán)利。黑客進(jìn)程可能會訪問不需要其原始目的的機(jī)密文件，并可能被濫用。這是一個嚴(yán)重的問題。

如果具有根權(quán)限的進(jìn)程受到攻擊，則整個系統(tǒng)處于風(fēng)險之中。SELinux提供的是更嚴(yán)格的安全性。在此處了解更多風(fēng)險信息。

如果它是一種安全功能，為什么要禁用SELinux？因為通常極端的安全功能會成為一種痛苦。SELinux也是如此。因為它對哪些文件可由哪些進(jìn)程訪問太嚴(yán)格，而您在服務(wù)器上可能會難以使各種服務(wù)正常工作。

例如，如果/var/lib中的文件歸root所有，并具有000的文件權(quán)限，則需要這些文件的程序?qū)⒉粫\行。

此外，在調(diào)試應(yīng)用程序時，SELinux會成為問題。禁用它可以省去您的麻煩。

提示：在SELinux中使用被動模式一個相對較好的做法是在部署應(yīng)用程序或調(diào)試問題之前將SELinux置于被動模式中，然后在此之后重新啟用它。

被動模式的工作方式就像禁用了SELinux，但是同時，它將記錄下使SELinux處于啟用狀態(tài)的日志。

這樣，您可以從/var/log/messages日志中了解如果啟用SELinux會發(fā)生什么情況。檢查拒絕信息。

在CentOS和其他Linux發(fā)行版中禁用SELinux

第1步：打開配置文件/ etc / selinux / config或其符號鏈接/ etc / sysconfig / selinux

第2步：將行從SELINUX=enforcing更改為SELINUX=disabled。

第3步：重啟系統(tǒng)或使用setenforce 0將SELinux模式更改為當(dāng)前會話，更改將在重啟時生效。

審核編輯：劉清