SELinux 寬容模式(permissive) 強制模式(enforcing) 關閉(disabled) 幾種模式之間的轉換

在Android的root相關的文章里經常會看到關于SElinux，Android4.3以后引進SElinux。

###SELinux 的啟動、關閉與查看

1、并非所有的 Linux distributions 都支持 SELinux

目前 SELinux 支持三種模式，分別如下：

?enforcing：強制模式，代表 SELinux 運作中，且已經正確的開始限制 domain/type 了；

?permissive：寬容模式：代表 SELinux 運作中，不過僅會有警告訊息并不會實際限制 domain/type 的存取。這種模式可以運來作為 SELinux 的 debug 之用；

?disabled：關閉，SELinux 并沒有實際運作。

2，查看SELinux的模式

# getenforce Enforcing <==就顯示出目前的模式為 Enforcing

3，查看 SELinux 的政策 (Policy)？

[root@master oracle]# sestatus

SELinux status: enabled <==是否啟動 SELinux

SELinuxfs mount: /selinux <==SELinux 的相關文件資料掛載點

Current mode: enforcing <==目前的模式

Mode from config file: enforcing <==設定檔指定的模式

Policy version: 21

Policy from config file: targeted <==目前的政策為何？

4，通過配置文件調整SELinux的參數

[root@www ~]# vi /etc/selinux/config

SELINUX=enforcing <==調整 enforcing|disabled|permissive

SELINUXTYPE=targeted <==目前僅有 targeted 與 strict

5，SELinux 的啟動與關閉

【重要常識】上面是預設的政策與啟動的模式！你要注意的是，如果改變了政策則需要重新開機；如果由 enforcing 或 permissive 改成 disabled ，或由 disabled 改成其他兩個，那也必須要重新開機。這是因為 SELinux 是整合到核心里面去的， 你只可以在 SELinux 運作下切換成為強制 (enforcing) 或寬容 (permissive) 模式，不能夠直接關閉 SELinux 的！

同時，由 SELinux 關閉 (disable) 的狀態到開啟的狀態也需要重新開機啦！所以，如果剛剛你發現 getenforce 出現 disabled 時， 請到上述文件修改成為 enforcing 吧！

【重點】如果要啟動SELinux必須滿足以下兩個點：

所以，如果你要啟動 SELinux 的話，請將上述的 SELINUX=enforcing 設定妥當，并且指定 SELINUXTYPE=targeted 這一個設定， 并且到 /boot/grub/menu.lst 這個文件去，看看核心有無關閉 SELinux 了呢？

[root@www ~]# vi /boot/grub/menu.lst

default=0

timeout=5

splashimage=(hd0,0)/grub/splash.xpm.gz

hiddenmenu

title CentOS (2.6.18-92.el5)

root (hd0,0)

kernel /vmlinuz-2.6.18-92.el5 ro root=LABEL=/1 rhgb quiet selinux=0

initrd /initrd-2.6.18-92.el5.img

如果要啟動 SELinux ，則不可以出現 selinux=0 的字樣在 kernel 后面！

【問題】通過上面的學習我們知道，如果將啟動著的SELinux改為禁用，需要重啟電腦，我們不想重啟電腦又不想開啟SELinux該怎么辦呢？

【答案】將強制模式改為寬松模！

[root@www ~]# setenforce [0|1]

選項與參數：

0 ：轉成 permissive 寬容模式；

1 ：轉成 Enforcing 強制模式

范例一：將 SELinux 在 Enforcing 與 permissive 之間切換與查看

[root@www ~]# setenforce 0

[root@www ~]# getenforce Permissive

[root@www ~]# setenforce 1

[root@www ~]# getenforce Enforcing

6，查看已啟動程序的type設定

[root@master oracle]# ps aux -Z

LABEL USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND

system_u:system_r:init_t root 1 0.0 0.4 2060 520 ? Ss May07 0:02 init [5 system_u:system_r:kernel_t root 2 0.0 0.0 0 0 ? S< May07 0:00 [migra] system_u:system_r:kernel_t root 11 0.0 0.0 0 0 ? S< May07 0:00 [kacpi] system_u:system_r:auditd_t root 4022 0.0 0.4 12128 560 ? S

說明：其實這些東西我們都不用管，都是SELinux內置的。只要學會在強制和寬松模式間轉換就行了！

小結附：

關閉SELinux的方法：

修改/etc/selinux/config文件中的SELINUX="" 為 disabled ，然后重啟。

如果不想重啟系統，使用命令setenforce 0

注：

setenforce 1 設置SELinux 成為enforcing模式

setenforce 0 設置SELinux 成為permissive模式

在lilo或者grub的啟動參數中增加：selinux=0,也可以關閉selinux

#---------------------------------------------------------------

查看selinux狀態：

/usr/bin/setstatus -v

如下：

SELinux status:???????????????? enabled

SELinuxfs mount:??????????????? /selinux

Current mode:?????????????????? permissive

Mode from config file:????????? enforcing

Policy version:???????????????? 21

Policy from config file:??????? targeted

getenforce/setenforce查看和設置SELinux的當前工作模式

#-----------------------------------------------------------------------

查看SELinux狀態：

1、/usr/sbin/sestatus -v ##如果SELinux status參數為enabled即為開啟狀態

SELinux status: enabled

2、getenforce ##也可以用這個命令檢查

關閉SELinux：

1、臨時關閉(不用重啟機器)：

setenforce 0 ##設置SELinux 成為permissive模式

##setenforce 1 設置SELinux 成為enforcing模式

1

2、修改配置文件需要重啟機器：

修改/etc/selinux/config 文件

將SELINUX=enforcing改為SELINUX=disabled

重啟機器即可

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的linux宽松模式,SELinux 宽容模式(permissive) 强制模式(enforcing) 关闭(disabled) 几种模式之间的转换...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。