selinux配置错误实例介绍
错误缘由html
配置关闭SELinux,结果误操做linux
应修改配置文件/etc/selinux/config中的“SELINUX”参数的值,vim
# SELINUX=enforcing 原始配置 SELINUX=disabled 正确
可是误将“SELINUXTYPE”当作“SELINUX”,设置了SELINUXTYPE参数:安全
#SELINUXTYPE=targeted 原始配置 这个没必要修改。 SELINUXTYPE=disabled 错误
错误结果操作系统
重启后 机器就报 Failed to load SELinux policy. Freezing 错误 致使一直不能启动htm
解决办法:blog
1. 重启时在启动页面,选择你要启动的内核 按 E, 进入 grub 编辑页面。three
2. 找到 linux16 那一行,在language 后面 也就是LANG=zh_CN.UTF-8,空格 加上 selinux=0 或者 enforcing=0 (备注:我是加入selinux=0 生效的。)进程
3. 而后 ctrl + x 启动,就看到熟悉的登陆界面。ci
4 .修改selinux配置文件,正确关闭selinux ~!
vim /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
修改完毕后,重启。查看是否会报错 。over。
安全加强型 Linux(Security-Enhanced Linux)
SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。SELinux 的做用及权限管理机制
1.1 SELinux 的做用
SELinux 主要做用就是最大限度地减少系统中服务进程可访问的资源(最小权限原则)。
目前系统文件权限的管理有两种:DAC(传统的) 和 MAC(SELinux)
1.2 DAC
传统的文件权限与账号关系:自主式存取控制, DAC(Discretionary Access Control, DAC)
在没有使用 SELinux 的操做系统中,决定一个资源是否能被访问的因素是:某个资源是否拥有对应用户的权限(读、写、执行)。
只要访问这个资源的进程符合以上的条件就能够被访问。
而最致命问题是,root 用户不受任何管制,系统上任何资源均可以无限制地访问。
这种权限管理机制的主体是用户,也称为自主访问控制(DAC)。
1.3 MAC
以政策规则订定特定程序读取特定文件:委任式存取控制,MAC
在使用了 SELinux 的操做系统中,决定一个资源是否能被访问的因素除了上述因素以外,还须要判断每一类进程是否拥有对某一类资源的访问权限。
这样一来,即便进程是以 root 身份运行的,也须要判断这个进程的类型以及容许访问的资源类型才能决定是否容许访问某个资源。进程的活动空间也能够被压缩到最小。
即便是以 root 身份运行的服务进程,通常也只能访问到它所须要的资源。即便程序出了漏洞,影响范围也只有在其容许访问的资源范围内。安全性大大增长。
这种权限管理机制的主体是进程,也称为强制访问控制(MAC)。
而 MAC 又细分为了两种方式,一种叫类别安全(MCS)模式,另外一种叫多级安全(MLS)模式。
在 DAC 模式下,只要相应目录有相应用户的权限,就能够被访问
在 MAC 模式下,还要受进程容许访问目录范围的限制。
总结理解
DAC是以用户为出发点来管理权限的
MAC是以程序为出发点来管理权限的
之前:root--->启动httpd---->httpd能够访问系统任何文件
如今:root--->启动httpd---->httpd只能访问/var/www/目录(这是MAC)规则的约束
若是httpd想要访问其余目录,那么必须知足两个条件:DAC的rwx + MAC的规则
- 1. SELinux介绍与设置
- 2. 介绍selinux
- 3. selinux 的介绍
- 4. selinux的介绍
- 5. selinux介绍
- 6. MySQL多实例介绍及配置
- 7. mysql多实例介绍及配置
- 8. mariadb单机多实例配置介绍
- 9. Nagios配置错误一例
- 10. Linux7/Centos7 Selinux介绍
- 更多相关文章...
- • 错误处理 - RUST 教程
- • PHP PDO 错误与错误处理 - PHP参考手册
- • Java Agent入门实战(一)-Instrumentation介绍与使用
- • IntelliJ IDEA 代码格式化配置和快捷键
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. SELinux介绍与设置
- 2. 介绍selinux
- 3. selinux 的介绍
- 4. selinux的介绍
- 5. selinux介绍
- 6. MySQL多实例介绍及配置
- 7. mysql多实例介绍及配置
- 8. mariadb单机多实例配置介绍
- 9. Nagios配置错误一例
- 10. Linux7/Centos7 Selinux介绍