Изключване SELinux на CentOS, Fedora

Изключване SELinux на CentOS, Fedora

SELinux (Security-Enhanced Linux) - система за контрол на достъпа задължителна, тя може да работи в паралел с стандарт класическата система за контрол на достъпа в Linux. SELinux може да създаде правила за работа с потребител или програма, която дава възможност да се ограничат някои възможности за достъп до тях. Този материал описва как да настроите режим различен подсистема за защита или просто да го изключите в операционната система Linux.

Команда / ЮЕсАр / sbin / getenforce и / ЮЕсАр / sbin / sestatus използва за проверка на текущото състояние на SELinux. getenforce команда връща Прилагане. Толерантен. или хора с увреждания. getenforce команда връща Прилагане когато SELinux е активирана (политически правила SELinux са задължителни):

getenforce команда връща Позволяващи когато SELinux е разрешена, но правилата на политиката SELinux не се налагат задължителното, и да се използват само правилата за КПР. getenforce команда връща деактивирано. ако SELinux е забранено.

sestatus команда връща състоянието SELinux и политиката на SELinux използва:

Значение SELinux статус: скрипт се върна, когато SELinux активирана. Текущ режим: Налагане се връща, когато SELinux е включен в задължителната сила на режима. Политика от конфигурационния файл: целенасочено се връща при използване на SELinux насочени политика.

управление на SELinux

В операционните системи с прекъснат SELinux, конфигурирана опция SELinux = инвалиди / и т.н. / SELinux / довереник:

Също така, getenforce команда връща увреждания:

За да се даде възможност на SELinux:

Използвайте командата об -qa на | Впиши SELinux. об -q policycoreutils. и об -qa | Впиши setroubleshoot да се провери за монтаж SELinux пакети. Това ръководство се приема, са инсталирани следните пакети: SELinux-политика, насочена. SELinux-политика. libselinux. libselinux-питон. libselinux-UTILS. policycoreutils. setroubleshoot. setroubleshoot-сървър. setroubleshoot-плъгини. Ако не са инсталирани тези пакети, инсталиране на тях като корен помощта на Yum инсталирате пакета име команда. Следните пакети са по желание: policycoreutils-GUI. setroubleshoot. SELinux-политика-раз. и mcstrans.

Преди SELinux е активирана, всеки файлова система файл трябва да бъде маркиран контекст SELinux. Преди това се случи, ограничени области може да бъде отказан достъп, което ще доведе до неправилно зареждане на операционната система. Поръчка. За да предотвратите това, регулирайте SELinux = толерантен във файла / и т.н. / SELinux / довереник:

Като потребител корен, стартирайте командата рестартиране да рестартирате операционната система. По време на следващото зареждане са отбелязани файлови системи. маркиране процес слага етикети за всички файлове в контекста на SELinux:

* Всеки герой в последния ред представлява 1000 файла, които са били етикетирани. В горния пример, четири символ * означава, че 4000 файлове са били маркирани. Общо време за маркиране на всички файлове, зависи от общия брой на файловете и скоростта на твърдите дискове. На съвременните системи, този процес отнема малко по-малко от 10 минути.

В режим на позволение, политически, прилага SELinux не е зададен, но забраните са влезли за действия, които няма да бъдат разрешени в режим на принуждение. Преди да отидете в режим на принуждение, като корен стартирате команда Впиши "SELinux пречи" / Var / дневник / съобщения. за да се уверите, че SELinux не забранява действия по време на последния багажника. Ако SELinux не забранява действия по време на последния багажника, тази команда не извежда никакви резултати.

Ако няма данни за забрани в / VAR / дневник / съобщения. след това се коригира SELinux = прилагане в / и т.н. / SELinux / конфигурационния:

Рестартирайте на операционната система. След рестартирането, се уверете, че getenforce команда връща Прилагане:

Ако това не е така, изпълнете следната команда като корен, за да поправят грешките на дисплея на потребителя. Безопасен, за да игнорирате предупреждението SELinux потребител потребителското име вече е определена. ако те се появят, когато потребителско име може да бъде unconfined_u. guest_u. или xguest_u:

/ ЮЕсАр / sbin / semanage потребителското -а -S насочена -Р потребителското -R «unconfined_r system_r» -r S0-S0: c0.c1023 unconfined_u

/ ЮЕсАр / sbin / semanage вход -м -S насочена -s «unconfined_u» -r S0-S0: c0.c1023 __default__

/ ЮЕсАр / sbin / semanage вход -м -S насочена -s «unconfined_u» -r S0-S0: c0.c1023 корен

/ ЮЕсАр / sbin / semanage употреба -а -S насочени -Р употреба -R guest_r guest_u

/ ЮЕсАр / sbin / semanage употреба -а -S насочени -Р употреба -R xguest_r xguest_u