SELinux 寬容模式(permissive) 強制模式(enforcing) 關閉(disabled) 幾種模式之間的轉換

http://blog.sina.com.cn/s/blog_5aee9eaf0100y44q.html

在CentOS6.2 中安裝intel 的c++和fortran 的編譯器時，遇到來一個關於SELinux的強制模式不可執行的情況，
需要關閉SELinux 或者 將enforcing改為 permissive 模式，查詢來一些資料后，先對SELinux的幾種模式，以及其之間的關系和轉換方法做一小結，以備以后查看和學習。

SELinux 的啟動、關閉與查看

1、並非所有的 Linux distributions 都支持 SELinux 
目前 SELinux 支持三種模式，分別如下：

•enforcing：強制模式，代表 SELinux 運作中，且已經正確的開始限制 domain/type 了；
•permissive：寬容模式：代表 SELinux 運作中，不過僅會有警告訊息並不會實際限制 domain/type 的存取。這種模式可以運來作為 SELinux 的 debug 之用；
•disabled：關閉，SELinux 並沒有實際運作。

2，查看SELinux的模式
# getenforce Enforcing <==就顯示出目前的模式為 Enforcing

3，查看 SELinux 的政策 (Policy)？
　　[root@master oracle]# sestatus
　　SELinux status: enabled <==是否啟動 SELinux
　　SELinuxfs mount: /selinux <==SELinux 的相關文件資料掛載點
　　Current mode: enforcing <==目前的模式
　　Mode from config file: enforcing <==設定檔指定的模式
　　Policy version: 21
　　Policy from config file: targeted <==目前的政策為何？

4，通過配置文件調整SELinux的參數

　　[root@www ~]# vi /etc/selinux/config

　　SELINUX=enforcing     <==調整 enforcing|disabled|permissive

　　SELINUXTYPE=targeted  <==目前僅有 targeted 與 strict

5，SELinux 的啟動與關閉
【重要常識】
  　上面是預設的政策與啟動的模式！你要注意的是，如果改變了政策則需要重新開機；
　　如果由 enforcing 或 permissive 改成disabled ，或由 disabled 改成其他兩個，那也必須要重新開機。這是因為 SELinux 是整合到核心里面去的， 你只可以在 
　　 SELinux 運作下切換成為強制 (enforcing) 或寬容 (permissive) 模式，不能夠直接關閉 SELinux 的！
　　同時，由 SELinux 關閉 (disable) 的狀態到開啟的狀態也需要重新開機啦！所以，如果剛剛你發現 getenforce 出現 disabled 時， 請到上述文件修改成為 enforcing 吧！

【重點】如果要啟動SELinux必須滿足以下兩個點：

所以，如果你要啟動 SELinux 的話，請將上述的 SELINUX=enforcing 設定妥當，並且指定 
SELINUXTYPE=targeted 這一個設定， 並且到 /boot/grub/menu.lst 這個文件去，看看核心有無關閉 
SELinux 了呢？
[root@www ~]# vi /boot/grub/menu.lst
default=0
timeout=5
splashimage=(hd0,0)/grub/splash.xpm.gz
hiddenmenu
title CentOS (2.6.18-92.el5)
      root (hd0,0)   

      kernel /vmlinuz-2.6.18-92.el5 ro root=LABEL=/1 rhgb quiet selinux=0
      initrd /initrd-2.6.18-92.el5.img

# 如果要啟動 SELinux ，則不可以出現 selinux=0 的字樣在 kernel 后面！



【問題】通過上面的學習我們知道，如果將啟動着的SELinux改為禁用，需要重啟電腦，我們不想重啟電腦又不想開啟SELinux該怎么辦呢？

【答案】將強制模式改為寬松模！

[root@www ~]# setenforce [0|1]
選項與參數：
0 ：轉成 permissive 寬容模式；
1 ：轉成 Enforcing 強制模式
范例一：將 SELinux 在 Enforcing 與 permissive 之間切換與查看
[root@www ~]# setenforce 0
[root@www ~]# getenforce Permissive
[root@www ~]# setenforce 1
[root@www ~]# getenforce Enforcing
6，查看已啟動程序的type設定
[root@master oracle]# ps aux -Z
LABEL                           USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
system_u:system_r:init_t        root         1  0.0  0.4   2060   520 ?        Ss   May07   0:02 init [5
system_u:system_r:kernel_t      root         2  0.0  0.0      0     0 ?        S<   May07   0:00 [migra]
system_u:system_r:kernel_t      root        11  0.0  0.0      0     0 ?        S<   May07   0:00 [kacpi]
system_u:system_r:auditd_t      root      4022  0.0  0.4  12128   560 ?        S<sl May07   0:01 auditd
system_u:system_r:auditd_t      root      4024  0.0  0.4  13072   628 ?        S<sl May07   0:00 /sbin/a
system_u:system_r:restorecond_t root      4040  0.0  4.4  10284  5556 ?        Ss   May07   0:00 /usr/sb
 
說明：其實這些東西我們都不用管，都是SELinux內置的。只要學會在強制和寬松模式間轉換就行了！


小結附：

#---------------------------------------------------------------

關閉SELinux的方法：
修改/etc/selinux/config文件中的SELINUX="" 為 disabled ，然后重啟。
如果不想重啟系統，使用命令setenforce 0
注：
setenforce 1 設置SELinux 成為enforcing模式
setenforce 0 設置SELinux 成為permissive模式
在lilo或者grub的啟動參數中增加：selinux=0,也可以關閉selinux

#---------------------------------------------------------------
查看selinux狀態：
/usr/bin/setstatus -v
如下：
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          enforcing
Policy version:                 21
Policy from config file:        targeted
 
getenforce/setenforce查看和設置SELinux的當前工作模式
#-----------------------------------------------------------------------
   發現服務一啟動，馬上停止，在網上查找資料，找到安裝時要先禁用SELinux，再安裝MySQL，步驟是：

1. 關閉SELinux，重啟系統；
2. 安裝MySQL（MySQL server應該可以啟動了）；
3. 啟用SELinux，重啟系統，之后MySQL server就可以正常啟動了。

   啟用禁用SELinux的方法是：

   vi /etc/selinux/config（也有人說是/etc/sysconfig/selinux文件，其實兩個之間是鏈接關系，隨便改其中一個，另一個也改了）

   SELINUX=disable 禁用SeLinux

   SELINUX=enforcing 啟用SeLinux

#-----------------------------------------------------------------------

CentOS系統如何快速關閉SELINUX

SELinux是一種基於 域-類型 
模型（domain-type）的強制訪問控制（MAC）安全系統，它由NSA編寫並設計成內核模塊包含到內核中，相應的某些安全相關的應用也被打了
SELinux的補丁，最后還有一個相應的安全策略。雖然CentOS系統相比較而言相對安全穩定。我在長期的linux實踐中總結的經驗
是:SElinux是php的天敵。

　　我們經常由於CentOS系統默認系統的安全性配置導致些莫名其妙的問題，比如SElinux本來是用於安全子系統的權限控制，可是搞不好就發現限制多多，我們可以用如下方法快速關閉SElinux。

　　/usr/sbin/setenforce 0 立刻關閉SELINUX

　　/usr/sbin/setenforce 1 立刻啟用 SELINUX

　　加到系統默認啟動里面

　　echo "/usr/sbin/setenforce 0" >> /etc/rc.local

　　這樣，我們在不需要在CentOS系統中開啟SELINUX的時候，就可以快速的去關閉了，以及在需要的時候，在開啟它。