目錄
關閉 selinux
安全增強型 Linux(SELinux)是一種採用安全架構的 Linux® 系統,它能夠讓管理員更好地管控哪些人可以訪問系統。它最初是作為 Linux 內核的一系列補丁,由美國國家安全局(NSA)利用 Linux 安全模塊(LSM)開發而成。
SELinux 於 2000 年發佈到開源社區,並於 2003 年集成到上游 Linux 內核中。
但是有時過多的安全策略會阻礙一些使用。這就是為什麼有時需要關閉某些措施的原因。在這篇文章中,我們將教你如何在 CentOS 7 中關閉 SELinux。
什麼是 SELinux?
SELinux 全稱 Security Enhanced Linux ( 安全強化 Linux ),目的在於明確的指明某個程式可以訪問哪些資源 ( 檔案、網路埠…等 )。強制訪問控制系統的用途在於增強系統抵禦 0-Day 攻擊 ( 利用尚未公開的漏洞實現的攻擊行為 ) 的能力。所以它不是網路防火牆或 ACL 的替代品,在用途上也 不重複。在目前的大多數發行版中,已經預設在核心整合了SELinux。
SELinux 通過稱為 “ policies ” 的規則進行管理,問題是製定這些政策非常困難。
SELinux 目前有三種狀態:
- Enforcing 狀態是拒絕所有未經授權的訪問。在這種狀態下,我們將其稱為 SELinux enabled
- Permissive 是指在 SELinux 中打印警告。與第一種狀態不同,此狀態允許未經授權的訪問,但會顯示警告。
- Disable SELinux 狀態意味著該功能已關閉並允許所有訪問而不會發出警告。
現在我們知道 SELinux 是如何工作的,我們知道它是否值得關閉。
關閉 SELinux
可以臨時或永久關閉 SELinux。每個方式都有自己的優勢。臨時這方法可以讓我們在不犧牲系統安全性的情況下進行測試。一旦系統重新啟動,SELinux 將再次被啟用。
另一方面,如果我們永久停用 SELinux,我們將能夠更快地工作。我們必須記住,在這一點上,大多數 Linux 發行版都有非常好的安全策略,所以我們可以負擔得起。
在這篇文章中,我們將教你如何在 CentOS 7 上使用這兩種方式。
在 CentOS 7 上臨時關閉 SELinux
首先,我們需要使用 SSH 遠端連線伺服器。如果您對如何操作有任何疑問,請查看我們的 SSH 教學!執行以下指令:
ssh root@xxx.xxx.xxx.xxx
另一方面,如果我們在個人電腦上使用 Mac OS或是 Linux電腦,我們只需要打開終端機 terminal 即可。
之後,我們必須驗證 SELinux 的狀態。這很簡單,我們可以使用以下指令來完成:
sestatus
在輸出中,我們將收到通知,SELinux 啟用了強制狀態。
要暫時禁用它,我們只需執行以下指令:
setenforce 0
現在,我們需要再次檢查 SELinux 狀態。
輸出將顯示 SELinux 現在處於許可模式,這意味著我們可以輕鬆使用該系統。
由於它被暫時關閉,在重新啟動 SELinux 時將自動進行更改。這種方法的主要優點是不需要重新啟動系統。
在 CentOS 7 上永久關閉 SELinux
要永久關閉 SELinux,我們需要編輯配置文件。
首先,讓我們安裝 nano 編輯器:
yum install nano -y
安裝好後接下來我們需要編輯 selinux 配置文件。
nano /etc/sysconfig/selinux
我們將編輯 SELINUX 的值。我們可以分配的不同值。換句話說,SELinux 可以採取的不同狀態。
在這種情況下,要完全關閉它,我們必須將值設置為Disabled。
SELINUX=disabled
然後,我們必須通過按 CTRL+O 保存文件並用 CTRL+X 關閉它。為了使所有這些工作,我們需要重新啟動系統,然後我們可以通過在指令行中執行以下指令來檢查更新是否有效:
sestatus
此時 CentOS 7 已經關閉 SELinux。
結論
SELinux 是 CentOS 7 的一個很好的安全工具。但是,對於某些人來說,它可能有點煩人和不方便。在考慮關閉安全層時,請始終考慮您是否願意承擔風險。
在這篇文章中,我們將概述如何根據我們的需要臨時和永久關閉 SELinux。我們希望您發現本教學對您有所幫助!
