SELinux配置文件（/etc/selinux/config）

2024-08-27 23:56:22

字體：大中小

來源：轉載

供稿：網友

我們知道，SElinux 是預先配置的，可以在不進行任何手動配置的情況下使用 SELinux 功能。然而，一般來說，預先配置的 SELinux 設置很難滿足所有的 Linux 系統安全需求。

SELinux 配置只能有 root 用戶進行設置和修改。配置和策略文件位于 /etc/selinux 目錄中，主配置文件位 /etc/selinux/config 文件，該文件中的內容如下：

[root@localhost ~]# vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values：
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
#指定SELinux的運行模式。有enforcing（強制模式）、permissive（寬容模式）、disabled（不生效）三種模式
# SELINUXTYPE= can take one of these two values：
# targeted - Targeted processes are protected，
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
#指定SELinux的默認策略。有 targeted（針對性保護策略，是默認策略）和 mls（多級安全保護策略）兩種策略

主配置文件中，除去以‘#’符號開頭的注釋行，有效配置參數僅有 2 行。其中，SELinux=enforcing 為 SELinux 默認的工作模式，有效值還可以是 permissive 和 disabled；SELINUXTYPE=targeted 用于指定 SELinux 的默認策略。

有關 SELinux 3中工作默認的介紹，可以閱讀《SELinux的工作模式》一節；有關 SELinux 策略，可閱讀《SELinux Targeted、MLS和Minimum策略》一節。

這里需要注意，如果從強制模式（enforcing）、寬容模式（permissive）切換到關閉模式（disabled），或者從關閉模式切換到其他兩種模式，則必須重啟 Linux 系統才能生效，但是強制模式和寬容模式這兩種模式互相切換不用重啟 Linux 系統就可以生效。這是因為 SELinux 是整合到 Linux 內核中的，所以必須重啟才能正確關閉和啟動。而且，如果從關閉模式切換到啟動模式，那么重啟 Linux 系統的速度會比較慢，那是因為需要重新寫入安全上下文信息。

上一篇：SELinux工作模式設置（getenforce、setenforce和sestatus命令）

下一篇：SELinux 的工作模式（Disabled、Permissive和Enforcing）