阿裡雲伺服器安全增強型Linux(SELinux)是一個Linux核心功能,SELinux提供支援通路控制的安全政策保護機制,Linux百科以阿裡雲Linux伺服器為例開啟或關閉SELinux教程:
阿裡雲Linux伺服器開啟或關閉SELinux
Linux伺服器開啟SELinux可以提高系統安全,但是也有可能導緻破壞作業系統的檔案,造成系統無法啟動的問題。如果你的應用需要十分嚴格的安全政策,需要在Linux作業系統中開啟SELinux,可以參考Linux百科本文教程,Linux百科以CentOS 7.2 64位作業系統為例:
參考:
https://dashi.aliyun.com/site/cloud/linux開啟SELinux
1、root遠端連接配接雲伺服器ECS,執行指令:
ssh root@伺服器IP 2、編輯SELinux的config檔案,在雲伺服器ECS是執行指令:
vi /etc/selinux/config 3、找到SELINUX=disabled,按i進入編輯模式,通過修改該參數開啟SELinux
SELINUX=disabled
如上圖所示,修改SELINUX=disabled參數,有兩種修改方式:
- SELINUX=enforcing:強制模式,表示所有違反安全政策的行為都将被禁止;
- SELINUX=permissive:寬容模式,表示所有違反安全政策的行為不被禁止,但是會在日志中作記錄。
根據實際情況選擇修改SELINUX參數。
4、修改完後,按鍵盤左上角Esc鍵,退出vi編輯模式,執行指令::wq,儲存并退出檔案
注意:修改config檔案後,需要重新開機雲伺服器,但是直接重新開機ECS會出現系統無法啟動的錯誤。是以,在重新開機之前需要在根目錄下建立autorelabel檔案。操作方法如下:
5、在根目錄下建立隐藏檔案autorelabel,指令:
touch /.autorelabel 雲伺服器ECS執行個體重新開機後,SELinux會自動重新标記所有系統檔案。
6、重新開機雲伺服器ECS,指令:
shutdown -r now 驗證SELinux狀态
1、root遠端連接配接雲伺服器,指令:
ssh root@伺服器ip 2、驗證SELinux狀态,執行指令:
getenforce 傳回狀态是enforcing或permissive,表示SELinux已經開啟。
運作指令:
sestatus 可以檢視更多SELinux資訊,如下圖:
sestatus
關閉SELinux
1、root連接配接伺服器,指令:
ssh root@伺服器IP 2、驗證SELinux狀态,指令:
getenforce 如果傳回結果為enforcing,則表示SELinux已開啟
3、選擇臨時關閉
執行指令:
setenforce 0 可臨時關閉SELinux。
4、永久關閉SELinux,永久關閉SELinux的方法,和開啟SELinux方法相同
編輯SELinux的config檔案,指令:
vi /etc/selinux/config 找到SELINUX=enforcing,按i進入編輯模式,将參數修改為SELINUX=disabled即可。
修改後,按:wq儲存并退出檔案。然後重新開機雲伺服器ECS執行個體即可。重新開機後,可以運作getenforce指令檢視驗證SELinux狀态,如果顯示disabled則代表SELinux已經關閉。