變更為 enforcing 模式 - Amazon Linux 2023
編輯設定檔案以啟用 enforcing 模式使用 cloud-init 來啟用 enforcing 模式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更為 enforcing 模式

當您以enforcing模SELinux式執行時,SELinux公用程式就是設enforcing定的原則。 SELinux根據策略的規則允許或拒絕存取,來控制特定應用程式的功能。

若要尋找目前的SELinux模式,請執行getenforce指令。

getenforce
Permissive

編輯設定檔案以啟用 enforcing 模式

若要將模式變更為enforcing,請使用下列步驟。

  1. 編輯 /etc/selinux/config 檔案以變更為 enforcing 模式。SELINUX設定看起來應如下列範例所示。

    SELINUX=enforcing

  2. 重新啟動系統以完成對 enforcing 模式的變更。

    $ sudo reboot

下次開機時,SELinux重新標示系統中的所有檔案和目錄。 SELinux還添加了當時SELinux創建的SELinux文件和目錄的上下文disabled

變更為enforcing模式之後,SELinux可能會因為SELinux原則規則不正確或遺漏而拒絕某些處理行動。您可以使用以下命令檢視SELinux拒絕的動作。

$ sudo ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent

使用 cloud-init 來啟用 enforcing 模式

或者,當您啟動執行個體時,請將下列 cloud-config 作為使用者資料傳遞以啟用 enforcing 模式。

#cloud-config
selinux: 
  mode: enforcing

預設情況下,此設定會導致執行個體重新啟動。為了提高穩定性,建議您重新啟動執行個體 但是,您可以依照偏好輸入下列 cloud-config,以跳過重新開機。

#cloud-config
selinux:
  mode: enforcing
  selinux_no_reboot: 1