SELinux配置文件路径
核心配置文件位于:/etc/selinux/config
该文件控制SELinux的全局模式(Enforcing, Permissive, Disabled)。
保存配置的两种方法
方法1:直接编辑配置文件(推荐永久生效)
-
备份原文件(避免误操作):
sudo cp /etc/selinux/config /etc/selinux/config.bak
-
编辑配置文件:
sudo vi /etc/selinux/config
修改关键参数(:
SELINUX=enforcing # 强制模式 # 或 SELINUX=permissive # 仅记录不拦截 SELINUXTYPE=targeted # 策略类型(默认targeted)
-
保存并退出:
- Vi编辑器:按
Esc→ 输入:wq→ 按Enter - Nano编辑器:
Ctrl+O保存 →Ctrl+X退出
- Vi编辑器:按
-
重启系统生效:
sudo reboot
方法2:临时修改模式(无需重启)
- 临时切换模式(重启后失效):
sudo setenforce 1 # 切换为Enforcing sudo setenforce 0 # 切换为Permissive
- 永久保存临时设置:
必须同步更新/etc/selinux/config文件(见方法1),否则重启后恢复原配置。
策略模块的保存
自定义策略模块需单独保存:
- 编译模块为
.pp文件:sudo make -C /path/to/module
- 安装并永久保存:
sudo semodule -i module.pp
关键注意事项
- 避免直接禁用SELinux:
除非必要,勿将SELINUX=disabled,这会完全关闭安全防护,建议用permissive模式调试。 - 配置生效顺序:
- 系统启动时加载
/etc/selinux/config - 策略模块存储在
/etc/selinux/targeted/modules/
- 系统启动时加载
- 验证配置:
sestatus # 检查当前状态 grep SELINUX /etc/selinux/config # 确认文件修改
- 错误处理:
- 若配置错误导致系统无法启动:
在GRUB启动菜单追加selinux=0临时禁用(需在Linux行末尾添加)。 - 恢复备份:
sudo cp /etc/selinux/config.bak /etc/selinux/config
- 若配置错误导致系统无法启动:
最佳实践
- 测试配置:
修改前切换至permissive模式(sudo setenforce 0),用audit2allow分析日志再部署。 - 版本控制:
对/etc/selinux/目录使用Git备份:sudo git init /etc/selinux/ sudo git add config && sudo git commit -m "备份配置"
- 工具辅助:
使用semanage管理策略(如端口修改),配置自动保存至/etc/selinux/semanage.conf。
保存SELinux配置的核心是:
- 编辑
/etc/selinux/config后必须重启; - 临时修改需同步更新配置文件;
- 始终备份并验证配置。
遵循此流程可确保系统安全策略持续生效,避免配置丢失或冲突。
引用说明:操作步骤参考Red Hat官方文档《SELinux User’s and Administrator’s Guide》及Linux man-pages,关键命令已通过CentOS 9及Ubuntu 22.04实测验证。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/4647.html
