《完美世界》txt全集,好看的电视剧,好看的小说完本推荐

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

selinux配置錯(cuò)誤導(dǎo)致CentOS無法重啟

錯(cuò)誤原因

配置關(guān)閉SELinux，結(jié)果誤操作

應(yīng)修改配置文件/etc/selinux/config中的“SELINUX”參數(shù)的值，
# SELINUX=enforcing 原始配置
SELINUX=disabled 正確

但是誤將“SELINUXTYPE”看成“SELINUX”，設(shè)置了SELINUXTYPE參數(shù)：
#SELINUXTYPE=targeted 原始配置這個(gè)不必修改。
SELINUXTYPE=disabled 錯(cuò)誤

錯(cuò)誤結(jié)果

重啟后機(jī)器就報(bào) Failed to load SELinux policy. Freezing 錯(cuò)誤導(dǎo)致一直不能啟動(dòng)

解決辦法：

1. 重啟時(shí)在啟動(dòng)頁面，選擇你要啟動(dòng)的內(nèi)核按 E，進(jìn)入 grub 編輯頁面。

2. 找到 linux16 那一行，在language 后面也就是LANG=zh_CN.UTF-8，空格加上 selinux=0 或者 enforcing=0 (備注：我是加入selinux=0 生效的。)

3. 然后 ctrl + x 啟動(dòng)，就看到熟悉的登錄界面。

4 .修改selinux配置文件，正確關(guān)閉selinux ~！

vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected.
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

修改完畢后，重啟。查看是否會(huì)報(bào)錯(cuò) 。over。

安全增強(qiáng)型 Linux（Security-Enhanced Linux）

SELinux，它是一個(gè) Linux 內(nèi)核模塊，也是 Linux 的一個(gè)安全子系統(tǒng)。

SELinux 主要由美國國家安全局開發(fā)。2.6 及以上版本的 Linux 內(nèi)核都已經(jīng)集成了 SELinux 模塊。

1、SELinux 的作用及權(quán)限管理機(jī)制

1.1 SELinux 的作用

SELinux 主要作用就是最大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問的資源（最小權(quán)限原則）。

目前系統(tǒng)文件權(quán)限的管理有兩種：DAC(傳統(tǒng)的) 和 MAC(SELinux)

1.2 DAC

傳統(tǒng)的文件權(quán)限與帳號(hào)關(guān)系：自主式存取控制, DAC(Discretionary Access Control, DAC)

在沒有使用 SELinux 的操作系統(tǒng)中，決定一個(gè)資源是否能被訪問的因素是：某個(gè)資源是否擁有對(duì)應(yīng)用戶的權(quán)限（讀、寫、執(zhí)行）。

只要訪問這個(gè)資源的進(jìn)程符合以上的條件就可以被訪問。

而最致命問題是，root 用戶不受任何管制，系統(tǒng)上任何資源都可以無限制地訪問。

這種權(quán)限管理機(jī)制的主體是用戶，也稱為自主訪問控制（DAC）。

1.3 MAC

以政策規(guī)則訂定特定程序讀取特定文件：委任式存取控制,MAC

在使用了 SELinux 的操作系統(tǒng)中，決定一個(gè)資源是否能被訪問的因素除了上述因素之外，還需要判斷每一類進(jìn)程是否擁有對(duì)某一類資源的訪問權(quán)限。

這樣一來，即使進(jìn)程是以 root 身份運(yùn)行的，也需要判斷這個(gè)進(jìn)程的類型以及允許訪問的資源類型才能決定是否允許訪問某個(gè)資源。進(jìn)程的活動(dòng)空間也可以被壓縮到最小。

即使是以 root 身份運(yùn)行的服務(wù)進(jìn)程，一般也只能訪問到它所需要的資源。即使程序出了漏洞，影響范圍也只有在其允許訪問的資源范圍內(nèi)。安全性大大增加。

這種權(quán)限管理機(jī)制的主體是進(jìn)程，也稱為強(qiáng)制訪問控制（MAC）。

而 MAC 又細(xì)分為了兩種方式，一種叫類別安全（MCS）模式，另一種叫多級(jí)安全（MLS）模式。
在 DAC 模式下，只要相應(yīng)目錄有相應(yīng)用戶的權(quán)限，就可以被訪問
在 MAC 模式下，還要受進(jìn)程允許訪問目錄范圍的限制。

【總結(jié)理解】
DAC是以用戶為出發(fā)點(diǎn)來管理權(quán)限的
MAC是以程序?yàn)槌霭l(fā)點(diǎn)來管理權(quán)限的

以前：root--->啟動(dòng)httpd---->httpd可以訪問系統(tǒng)任何文件
現(xiàn)在：root--->啟動(dòng)httpd---->httpd只能訪問/var/www/目錄(這是MAC)規(guī)則的約束

如果httpd想要訪問其他目錄，那么必須滿足兩個(gè)條件：DAC的rwx + MAC的規(guī)則

名稱欄目：selinux配置錯(cuò)誤導(dǎo)致CentOS無法重啟
網(wǎng)頁網(wǎng)址：http://fisionsoft.com.cn/article/ccspdog.html

新聞中心

其他資訊