长期支持版本

    社区创新版本

      SELinux配置

      概述

      自主访问控制DAC(Discretionary Access Control)基于用户、组和其他权限,决定一个资源是否能被访问的因素是某个资源是否拥有对应用户的权限,它不能使系统管理员创建全面和细粒度的安全策略。SELinux(Security-Enhanced Linux)是Linux内核的一个模块,也是Linux的一个安全子系统。SELinux的实现了强制访问控制MAC(Mandatory Access Control ),每个进程和系统资源都有一个特殊的安全标签,资源能否被访问除了DAC规定的原则外,还需要判断每一类进程是否拥有对某一类资源的访问权限。

      openEuler默认使用SELinux提升系统安全性。SELinux分为三种模式:

      • permissive:SELinux仅打印告警而不强制执行。
      • enforcing:SELinux安全策略被强制执行。
      • disabled:不加载SELinux安全策略。

      配置说明

      openEuler默认开启SELinux,且默认模式为enforcing,用户可以通过修改/etc/selinux/config中配置项SELINUX的值变更SELinux模式。

      • 关闭SELinux策略的配置如下:

        SELINUX=disabled
        
      • 使用permissive策略的配置如下:

        SELINUX=permissive
        

      说明:
      disabled与另两种模式切换时需重启系统生效。

      # reboot  
      

      SELinux相关命令

      • 查询SELinux模式。例如下述查询的SELinux模式为Permissive:

        # getenforce
        Permissive
        
      • 设置SELinux模式,0表示permissive模式,1表示enforcing模式,例如设置为enforcing模式的命令如下。该命令不能设置disabled模式,且系统重启后,恢复到/etc/selinux/config中设置的模式。

        # setenforce 1
        
      • 查询运行SELinux的系统状态。SELinux status表示SELinux的状态,enabled表示启用SELinux,disabled表示关闭SELinux。Current mode表示SELinux当前的安全策略。

        # sestatus
        SELinux status:                 enabled
        SELinuxfs mount:                /sys/fs/selinux
        SELinux root directory:         /etc/selinux
        Loaded policy name:             targeted
        Current mode:                   enforcing
        Mode from config file:          enforcing
        Policy MLS status:              enabled
        Policy deny_unknown status:     allowed
        Memory protection checking:     actual (secure)
        Max kernel policy version:      31
        

      SELinux策略约束

      SELinux是一个策略集中式的强制访问控制安全机制,selinux-policy会为操作系统中常用软件指定规则,因此部分软件的使用会受到一些约束,对于这些受到约束的软件,用户可以在关闭SELinux的情况下使用,如果需要在开启SELinux的情况下使用,可能需要进行规则适配。例如:

      • 使用freeradius连接sqlite,SELinux策略限制了sqlite数据库文件需要位于/var/lib/radiusd目录下,且SELinux标签为radiusd_var_lib_t。如果用户想将数据库文件放在其他位置,需要自行适配规则。

      文档捉虫

      “有虫”文档片段

      问题描述

      提交类型 issue

      有点复杂...

      找人问问吧。

      PR

      小问题,全程线上修改...

      一键搞定!

      问题类型
      规范和低错类

      ● 错别字或拼写错误;标点符号使用错误;

      ● 链接错误、空单元格、格式错误;

      ● 英文中包含中文字符;

      ● 界面和描述不一致,但不影响操作;

      ● 表述不通顺,但不影响理解;

      ● 版本号不匹配:如软件包名称、界面版本号;

      易用性

      ● 关键步骤错误或缺失,无法指导用户完成任务;

      ● 缺少必要的前提条件、注意事项等;

      ● 图形、表格、文字等晦涩难懂;

      ● 逻辑不清晰,该分类、分项、分步骤的没有给出;

      正确性

      ● 技术原理、功能、规格等描述和软件不一致,存在错误;

      ● 原理图、架构图等存在错误;

      ● 命令、命令参数等错误;

      ● 代码片段错误;

      ● 命令无法完成对应功能;

      ● 界面错误,无法指导操作;

      风险提示

      ● 对重要数据或系统存在风险的操作,缺少安全提示;

      内容合规

      ● 违反法律法规,涉及政治、领土主权等敏感词;

      ● 内容侵权;

      您对文档的总体满意度

      非常不满意
      非常满意
      提交
      根据您的反馈,会自动生成issue模板。您只需点击按钮,创建issue即可。
      文档捉虫
      编组 3备份