前天在论坛看到高手写的dedora普及教程 说是要 首先关闭selinux服务
我也不知道这个是什么服务
今天上网查了下 大概是一个和安全有关的服务
网上说 关闭这个服务的Linux就合windows 的安全系数是一样的了!
为什么要关闭这个服务呢?下面是我在网上搜索的selinux 文章
一、SELinux简介
RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大变化就在于集成了SELinux的支持。
SELinux的全称是Security-Enhanced Linux,是由美国国家安全局NSA开发的访问控制体制。
SELinux可以最大限度地保证Linux系统的安全。至于它的作用到底有多大,举一个简单的例子可以证明:
没有SELinux保护的Linux的安全级别和Windows一样,是C2级,但经过保护SELinux保护的Linux,安全级别
则可以达到B1级。如:我们把/tmp目录下的所有文件和目录权限设置为0777,这样在没有SELinux保护的情
况下,任何人都可以访问/tmp 下的内容。而在SELinux环境下,尽管目录权限允许你访问/tmp下的内容,
但SELinux的安全策略会继续检查你是否可以访问。
NSA推出的SELinux安全体系结构称为 Flask,在这一结构中,安全性策略的逻辑和通用接口一起封装在与
操作系统独立的组件中,这个单独的组件称为安全服务器。SELinux的安全服务器定义了一种混合的安全性
策略,由类型实施 (TE)、基于角色的访问控制 (RBAC) 和多级安全(MLS) 组成。通过替换安全服务器,可
以支持不同的安全策略。SELinux使用策略配置语言定义安全策略,然后通过checkpolicy 编译成二进制形
式,存储在文件(如目标策略/etc/selinux/targeted/policy/policy.18)中,在内核引导时读到内核空间
。这意味着安全性策略在每次系统引导时都会有所不同。
SELinux的策略分为两种,一个是目标(targeted)策略,另一个是严格(strict)策略。有限策略仅针对部分
系统网络服务和进程执行SELinux策略,而严厉策略是执行全局的NSA默认策略。有限策略模式下,9个(可
能更多)系统服务受SELinux监控,几乎所有的网络服务都受控。
配置文件是/etc/selinux/config,一般测试过程中使用“permissive”模式,这样仅会在违反SELinux规
则时发出警告,然后修改规则,最后由用户觉得是否执行严格“enforcing”的策略,禁止违反规则策略的
行为。
规则决定SELinux的工作行为和方式,策略决定具体的安全细节如文件系统,文件一致性。
在安装过程中,可以选择“激活”、“警告”或者“关闭”SELinux。默认设置为“激活”。
安装之后,可以在“应用程序”-->“系统设置”-->“安全级别”,或者直接在控制台窗口输入“system
-config- securitylevel”来打开“安全级别”设置窗口。在“SELinux”选项页中,我们不但可以设置“
启用”或者“禁用”SELinux,而且还可以对已经内置的SELinux策略进行修改。
SELinux相关命令:
ls -Z
ps -Z
id -Z
分别可以看到文件,进程和用户的SELinux属性。
chcon 改变文件的SELinux属性。
getenforce/setenforce查看和设置SELinux的当前工作模式。
修改配置文件/etc/selinux/config后,需要重启系统来启动SELinux新的工作模式。
二、案例分析
Apache - "Document root must be a directory" 问题?
有可能和这个问题并发的问题还有 403 Forbidden 禁止访问的问题。
现象描述:
不使用系统默认的 /var/www/html作为系统的Document Root,自己新建一个目录后修改
/etc/httpd/conf/httpd.conf 中的配置,然后重起Apache的Daemon,发现Apache无法起动,系统报错:
Document root must be a directory
但是,我们设置的DocumentRoot 的确是一个目录,而且apache用户具有可读权限。
另一种情况:新建一个虚拟目录或文件后,无法访问,显示 Forbidden, 403 Error,但文件或目录有可读
权限。
问题产生的原因:
一开始想来想去想不出为什么,但是给我感觉是权限的问题,用传统的Linux的思维方式来看,权限绝对没
有问题。但是仔细一想,SELinux是不是会有其他安全的设定?
检查 avcmessage,查看 /var/log/messages文件,发现有类似以下内容的这样一段:
Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:
denied{ getattr } forpid=19029 exe=/usr/sbin/httpd
path=/var/www/html/about.html dev=dm-0 ino=373900
scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t
tclass=file
嘿嘿,问题找到了,果然是SELinux的新特性搞的鬼。我把目录或文件设成了user_home_t类型,因此
apache的进程没有权限,无法访问。针对Apache的进程所使用的SELinux target policy规定了apache的进
程只能访问httpd_sys_content_t类型的目录或文件。
解决办法:
很简单,把目录或文件的策略类型改成 httpd_sys_content_t 就可以了。
# chcon -t httpd_sys_content_t [file_name | dir_name]
然后可以用 ls -laZ 命令查看文件目录的策略类型。(T002)
sxlinux 于 2012-11-12 13:01:15发表:
刚装一个CentOS,SElinux按默认装了强制的,如何停
zphcd 于 2012-11-11 20:39:19发表:
理解了,以前每次装系统都不装这个。
未澜5505 于 2012-06-18 01:19:18发表:
我也正奇怪这件事啊
gujifly 于 2012-06-13 18:38:51发表:
今天找到办法了:
取消sedispatch自启动
sudo su
leafpad /etc/audisp/plugins.d/sedispatch.conf
把Active 的值由 yes 改为 no
保存,重启。
gujifly 于 2012-06-12 19:48:49发表:
当你关机后,Fedora老是卡在图标上,久久不断电,你进入终端1可以看到“plugin /usr/sbin/sedispatch terminated upexpectedly ...” 这个垃圾提示,一直卡死在那里。。。
gujifly 于 2012-06-12 19:47:07发表:
:0w223dc这个垃圾,害得我好一阵时间关机都不断电,老子把它关了。
于 2012-02-13 23:18:45发表:
selinux安全吗?
于 2012-02-13 23:16:42发表:
selinux安全吗?
kingvenlee 于 2010-10-26 19:34:42发表:
多谢分享
haiya820 于 2010-10-19 13:31:16发表:
LZ分析得很到位,对与关不关SELINUX还得看您自已的, 不过不关更安全这是一定的只不过LINUX真的不容易中什么病毒我都装几年了也没有中过 ,如果您中过LINUX千万要告诉我一声真的很想知道LINUX中了毒是什么样子。 就像L上的说的关了也有好处就是BT下载东西可能会快点,我只觉得L上说得有理并没有试过所以说可能。 LINUX啊爱您不容易爱上了永远也放不下。 瘟到死实在对不起了如果不是为了个网银我早把你给休了。
miucat 于 2010-10-19 12:40:57发表:
因为他烦人。
xucao520 于 2010-10-19 12:29:43发表:
长见识了
里宁科斯 于 2010-10-18 10:51:25发表:
多一事不如少一事
kingvenlee 于 2010-10-17 21:34:29发表:
确实是很蛋疼啊
ffffllll 于 2009-10-30 00:45:15发表:
学习了
relike 于 2009-10-28 18:19:20发表:
还是关了吧
守望者WD 于 2009-10-27 22:09:41发表:
我不知道为什么开了SELinux就上不了网,试了很久都不能上网,可能我太菜吧!所以我关了它!~
bobo504 于 2009-10-27 18:06:00发表:
有2种工作模式 一种是targeted,针对网络服务的安全策略设置,一种是strict所谓完全selinux保护(有可能会造成无法启动系统),如果新手不太了解怎么设置,会导致系统出现很多问题而无法正常使用,所以建议关闭先,但在加固一些网络服务时,还是需要开启的
prinse 于 2009-10-27 12:43:28发表:
不算太复杂……
yaoze85106 于 2009-10-26 09:49:37发表:
设置太复杂
snnq 于 2009-10-22 21:42:17发表:
selinux对很多服务的要求以及安全策略非常多非常多,新手很难驾驭,所以一般搜建议关闭 呵呵
gkwangdh 于 2008-07-17 19:21:41发表:
linux下想中个毒,就像中大奖一样难得,linux下有时候想安装一个软件都难如登天,就更别说开发一个通行众多发行版的病毒了,估计也没有高手有兴趣去开发一个linux这样小范围流行的、用户较少的平台的病毒。所以打开selinux就是给自己找麻烦,会使amule、BT还有网络电视之类的软件得不到高IP、端口映射等。
0:w(5(
marco.chan 于 2008-07-17 11:07:16发表:
就像VISTA的UAC一样,一无是处。。。
liyangbbs 于 2008-07-16 23:43:17发表:
我太菜了,所以要关。
ajqn0920 于 2008-07-16 09:15:50发表:
:0w5ty(1 :0w5ty(1 :0w5ty(1
zhaotana 于 2008-06-10 07:30:54发表:
请问 为什么要关闭 selinux 呢?