提供WordPress、SEO技術與各項 IT 資訊
安全增強型 Linux(SELinux)是一種採用安全架構的 Linux® 系統,它能夠讓管理員更好地管控哪些人可以訪問系統。它最初是作為 Linux 內核的一系列補丁,由美國國家安全局(NSA)利用 Linux 安全模塊(LSM)開發而成。
SELinux 於 2000 年發佈到開源社區,並於 2003 年集成到上游 Linux 內核中。
但是有時過多的安全策略會阻礙一些使用。這就是為什麼有時需要關閉某些措施的原因。在這篇文章中,我們將教你如何在 CentOS 7 中關閉 SELinux。
SELinux 全稱 Security Enhanced Linux ( 安全強化 Linux ),目的在於明確的指明某個程式可以訪問哪些資源 ( 檔案、網路埠…等 )。強制訪問控制系統的用途在於增強系統抵禦 0-Day 攻擊 ( 利用尚未公開的漏洞實現的攻擊行為 ) 的能力。所以它不是網路防火牆或 ACL 的替代品,在用途上也 不重複。在目前的大多數發行版中,已經預設在核心整合了SELinux。
SELinux 通過稱為 “ policies ” 的規則進行管理,問題是製定這些政策非常困難。
SELinux 目前有三種狀態:
現在我們知道 SELinux 是如何工作的,我們知道它是否值得關閉。
可以臨時或永久關閉 SELinux。每個方式都有自己的優勢。臨時這方法可以讓我們在不犧牲系統安全性的情況下進行測試。一旦系統重新啟動,SELinux 將再次被啟用。
另一方面,如果我們永久停用 SELinux,我們將能夠更快地工作。我們必須記住,在這一點上,大多數 Linux 發行版都有非常好的安全策略,所以我們可以負擔得起。
在這篇文章中,我們將教你如何在 CentOS 7 上使用這兩種方式。
首先,我們需要使用 SSH 遠端連線伺服器。如果您對如何操作有任何疑問,請查看我們的 SSH 教學!執行以下指令:
ssh root@xxx.xxx.xxx.xxx
另一方面,如果我們在個人電腦上使用 Mac OS或是 Linux電腦,我們只需要打開終端機 terminal 即可。
之後,我們必須驗證 SELinux 的狀態。這很簡單,我們可以使用以下指令來完成:
sestatus
在輸出中,我們將收到通知,SELinux 啟用了強制狀態。
要暫時禁用它,我們只需執行以下指令:
setenforce 0
現在,我們需要再次檢查 SELinux 狀態。
輸出將顯示 SELinux 現在處於許可模式,這意味著我們可以輕鬆使用該系統。
由於它被暫時關閉,在重新啟動 SELinux 時將自動進行更改。這種方法的主要優點是不需要重新啟動系統。
要永久關閉 SELinux,我們需要編輯配置文件。
首先,讓我們安裝 nano 編輯器:
yum install nano -y
安裝好後接下來我們需要編輯 selinux 配置文件。
nano /etc/sysconfig/selinux
我們將編輯 SELINUX 的值。我們可以分配的不同值。換句話說,SELinux 可以採取的不同狀態。
在這種情況下,要完全關閉它,我們必須將值設置為Disabled。
SELINUX=disabled
然後,我們必須通過按 CTRL+O 保存文件並用 CTRL+X 關閉它。為了使所有這些工作,我們需要重新啟動系統,然後我們可以通過在指令行中執行以下指令來檢查更新是否有效:
sestatus
此時 CentOS 7 已經關閉 SELinux。
SELinux 是 CentOS 7 的一個很好的安全工具。但是,對於某些人來說,它可能有點煩人和不方便。在考慮關閉安全層時,請始終考慮您是否願意承擔風險。
在這篇文章中,我們將概述如何根據我們的需要臨時和永久關閉 SELinux。我們希望您發現本教學對您有所幫助!