考慮到《可能是目前最詳細簡明的CentOS7安裝與管理教程》一文太長厕诡,以及簡書目前不支持導(dǎo)航目錄,閱讀起來過于不便营勤,故對其分解成《CentOS7最小化安裝后要做的事》系列灵嫌,方便以后有針對性的豐富內(nèi)容壹罚。
關(guān)于SELinux:
SELinux(Security-Enhanced Linux) 是美國國家安全局(NSA)對于強制訪問控制的實現(xiàn),是 Linux歷史上最杰出的新安全子系統(tǒng)寿羞。NSA是在Linux社區(qū)的幫助下開發(fā)了一種訪問控制體系猖凛,在這種訪問控制體系的限制下,進程只能訪問那些在他的任務(wù)中所需要文件绪穆。
SELinux是一種基于 域-類型 模型(domain-type)的強制訪問控制(MAC)安全系統(tǒng)辨泳,它由NSA編寫并設(shè)計成內(nèi)核模塊包含到內(nèi)核中,相應(yīng)的某些安全相關(guān)的應(yīng)用也被打了SELinux的補丁玖院,最后還有一個相應(yīng)的安全策略菠红。任何程序?qū)ζ滟Y源享有完全的控制權(quán)。假設(shè)某個程序打算把含有潛在重要信息的文件扔到/tmp目錄下难菌,那么在DAC情況下沒人能阻止他试溯。SELinux提供了比傳統(tǒng)的UNIX權(quán)限更好的訪問控制。
但是郊酒,很多服務(wù)都有SELinux的限制遇绞,比如常見的/tmp文件夾無訪問權(quán)限,改起來頗為麻煩燎窘,個人使用還是關(guān)閉SELinux摹闽,省心。
查看SELinux狀態(tài)
執(zhí)行命令:getenforce
如上圖顯示
Enforcing褐健,說明SELinux處于開啟狀態(tài)付鹿。
臨時關(guān)閉
##設(shè)置SELinux 成為permissive模式
##setenforce 1 設(shè)置SELinux 成為enforcing模式
setenforce 0
永久關(guān)閉
直接修改配置文件
執(zhí)行命令:vi /etc/selinux/config
將SELINUX=enforcing改為SELINUX=disabled
然后執(zhí)行命令reboot重啟系統(tǒng)生效
再次查看,狀態(tài)已變?yōu)?code>disabled
