本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
改为 enforcing 模式
当您在enforcing模式SELinux下运行时,该SELinux实用程序就是配置enforcing的策略。 SELinux通过根据策略规则允许或拒绝访问来控制选定应用程序的功能。
要查找当前SELinux模式,请运行getenforce命令。
getenforcePermissive
编辑配置文件以启用 enforcing 模式
要将模式更改为enforcing,请执行以下步骤。
-
编辑
/etc/selinux/config文件以改为enforcing模式。该SELINUX设置应类似于以下示例。SELINUX=enforcing -
重新启动系统以完成改为
enforcing模式。$sudo reboot
下次启动时,SELinux重新标记系统中的所有文件和目录。 SELinux还添加了创建时SELinux创建的文件和目录的SELinux上下文disabled。
切换到enforcing模式后,SELinux可能会因为SELinux策略规则不正确或缺失而拒绝某些操作。您可以使用以下命令查看SELinux拒绝的操作。
$sudo ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent
使用 cloud-init 启用 enforcing 模式
或者,当您启动实例时,请将以下 cloud-config 作为用户数据传递以启用 enforcing 模式。
#cloud-config selinux: mode: enforcing
默认情况下,此设置会导致实例重启。为了提高稳定性,建议您重启实例。但是,如果您愿意,可以通过提供以下 cloud-config 来跳过重新启动。
#cloud-config selinux: mode: enforcing selinux_no_reboot: 1
