1、selinux介绍
SELinux(Security-EnhancedLinux)是美国国家安全局(NSA)对于强制访问控制的实现,是Linux®上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。
两种方法关闭:
-
一种是临时关闭法
-
一种是永久关闭法
2、临时关闭法
#数字0表示Permissive,即给出警告提示,但不会阻止操作,相当于disabled。 #数字1表示Enforcing,即表示SElinux为开启状态。
getenforce查看selinux的状态
###命令行临时 [root@oldboyedu-35~]#getenforce Enforcing [root@oldboyedu-35~]#setenforce usage:setenforce[Enforcing|Permissive|1|0] [root@oldboyedu-35~]#setenforce0 [root@oldboyedu-35~]#getenforce Permissive
提示:修改配置SElinux后,要想使其生效,必须要重启系统,因此,可配合使用setenfore 0时使其关闭的命令,这样在重启前后都可以使得SElinux关闭生效了,也就是说无需立刻重新启动了,在生成场景下linux机器是不能随意重启的(不要给自己找任何理由重启)
3、永久关闭法
###文件中更改,永久生效
第一步操作前的备份(复制):
[root@oldboy35-moban ~]# cp /etc/selinux/config /etc/selinux/config.bak
第二步cat看一眼 找目标
[root@oldboy35-moban ~]# cat /etc/selinux/config
[root@oldboy35-moban ~]# sed 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
第三步 成功后加-i替换
[root@oldboy35-moban ~]# sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
第四步 查看
[root@oldboyedu-35~]#grep"=disabled"/etc/selinux/config SELINUX=disabled
[root@oldboy35-moban ~]# cat /etc/selinux/config
4、更改文件的规范
i、将要修改的文件做备份(cat,cp,sed -i .bak)
ii、cat看一眼,找下目标文件
iii、用sed 's###g' 在命令行中显示出替换后的内容
iv、执行成功了,在加 -i 参数
v、再查看改过后的内容,cat/grep
5、小结
i、操作前要备份
ii、cat看下内容,找下目标
iii、sed 's###g' 查找下内容
iv、成功找出目标后,加上-i参数
v、再次用cat查看,更改后的状态
练习题:
简述selinux的两种关闭流程