本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
變更為 enforcing
模式
當您以enforcing
模SELinux式執行時,SELinux公用程式就是設enforcing
定的原則。 SELinux根據策略的規則允許或拒絕存取,來控制特定應用程式的功能。
若要尋找目前的SELinux模式,請執行getenforce
指令。
getenforce
Permissive
編輯設定檔案以啟用 enforcing
模式
若要將模式變更為enforcing
,請使用下列步驟。
-
編輯
/etc/selinux/config
檔案以變更為enforcing
模式。SELINUX
設定看起來應如下列範例所示。SELINUX=enforcing
-
重新啟動系統以完成對
enforcing
模式的變更。$
sudo reboot
下次開機時,SELinux重新標示系統中的所有檔案和目錄。 SELinux還添加了當時SELinux創建的SELinux文件和目錄的上下文disabled
。
變更為enforcing
模式之後,SELinux可能會因為SELinux原則規則不正確或遺漏而拒絕某些處理行動。您可以使用以下命令檢視SELinux拒絕的動作。
$
sudo ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent
使用 cloud-init 來啟用 enforcing
模式
或者,當您啟動執行個體時,請將下列 cloud-config
作為使用者資料傳遞以啟用 enforcing
模式。
#cloud-config selinux: mode: enforcing
預設情況下,此設定會導致執行個體重新啟動。為了提高穩定性,建議您重新啟動執行個體 但是,您可以依照偏好輸入下列 cloud-config
,以跳過重新開機。
#cloud-config selinux: mode: enforcing selinux_no_reboot: 1