什么是SELinux？SELinux如何工作？

什么是SELinux？

SELinux 是一種安全增強型 Linux 安全模塊，用于控制 subjects（例如程序、進程等）訪問 objects（例如文件、設備等）的權限和可訪問性。SELinux 基于政治策略，這些策略由安全策略分析家編寫，包括如何允許和拒絕系統(tǒng)中的對象和主體進行交互。它提供了比標準 Linux 安全性更高級別的訪問控制和安全性保護。

然而，許多人想要禁用 SELinux，因為它可以很難配置和管理。一些用戶可能會發(fā)現它導致他們訪問某些文件或應用程序時遇到了麻煩。此外，由于 SELinux 根據其預定義的策略來執(zhí)行訪問控制，這使得它很難與某些程序或服務進行集成。

SELinux如何工作？

SELinux執(zhí)行訪問策略，內核在每個進程需要訪問文件或對象時將遵循該策略。根據策略，每個文件或進程都被分配一個標簽。因此，當具有a：a：a標簽的進程需要訪問文件（具有b：b：b標簽的文件）時，兩者都應匹配（除了根據策略按層次結構進行的MLS配置）。

在此處和這里閱讀有關標記的更多信息。

請注意，禁用服務器中的SELinux會帶來很多威脅。確保您這樣做的原因不是因為方便，也不是因為文章中的推測內容，而是有一個有效的原因。

禁用SE Linux的缺點

禁用SELinux后，每個進程都將像在普通Linux系統(tǒng)中一樣訪問文件。無法防止濫用權利。黑客進程可能會訪問不需要其原始目的的機密文件，并可能被濫用。這是一個嚴重的問題。

如果具有根權限的進程受到攻擊，則整個系統(tǒng)處于風險之中。SELinux提供的是更嚴格的安全性。在此處了解更多風險信息。

如果它是一種安全功能，為什么要禁用SELinux？因為通常極端的安全功能會成為一種痛苦。SELinux也是如此。因為它對哪些文件可由哪些進程訪問太嚴格，而您在服務器上可能會難以使各種服務正常工作。

例如，如果/var/lib中的文件歸root所有，并具有000的文件權限，則需要這些文件的程序將不會運行。

此外，在調試應用程序時，SELinux會成為問題。禁用它可以省去您的麻煩。

提示：在SELinux中使用被動模式一個相對較好的做法是在部署應用程序或調試問題之前將SELinux置于被動模式中，然后在此之后重新啟用它。

被動模式的工作方式就像禁用了SELinux，但是同時，它將記錄下使SELinux處于啟用狀態(tài)的日志。

這樣，您可以從/var/log/messages日志中了解如果啟用SELinux會發(fā)生什么情況。檢查拒絕信息。

在CentOS和其他Linux發(fā)行版中禁用SELinux

第1步：打開配置文件/ etc / selinux / config或其符號鏈接/ etc / sysconfig / selinux

第2步：將行從SELINUX=enforcing更改為SELINUX=disabled。

第3步：重啟系統(tǒng)或使用setenforce 0將SELinux模式更改為當前會話，更改將在重啟時生效。

審核編輯：劉清