SBC-sig/documents/rockchip/设置SELinux.md

- [描述](#描述)
- [什么是 SELinux](#什么是-selinux)
- [检查 SELinux 状态](#检查-selinux-状态)
- [设置 SELinux 为许可状态](#设置-selinux-为许可状态)
- [永久设置 SELinux 为许可状态 （不推荐）](#永久设置-selinux-为许可状态-不推荐)

## 描述

本文介绍了如何在 openEuler 中设置 SELinux 状态。

## 什么是 SELinux

SELinux 是一个提供强制访问控制的安全模块，限制进程对系统资源的访问。
当 SELinux 开启且强制执行时，它会阻止 chroot 其他系统的根目录修改密码，因为安全策略限制这些操作。

设置 SELinux 为许可模式会增加安全风险，使系统更易受到攻击，在充分了解设置 SELinux 为许可模式将对你的系统造成影响之后再进行以下操作。

## 检查 SELinux 状态

1.  使用 `getenforce` 查看 SELinux 状态：

```
[root@localhost ~]# getenforce
Enforcing
```

如果为 `Enforcing` 则表示 SELinux 为开启状态且强制执行。

2.  使用 `sestatus` 查看 SELinux 状态

```
[root@localhost ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33
```

如果为 `Current mode: enforcing` 则表示 SELinux 为开启状态且强制执行。

## 设置 SELinux 为许可状态

使用 `setenforce 0` 来将 SELinux 暂时设置为许可状态

```
[root@localhost ~]# setenforce 0
```

查看修改后的 SELinux 状态：

```
[root@localhost ~]# getenforce
Permissive
[root@localhost ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33
```

## 永久设置 SELinux 为许可状态 （不推荐）

编辑 /etc/selinux/config 文件

完整内容如下：

```
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted
```

将 `SELINUX=enforcing` 修改为 `SELINUX=permissive` 然后重启即可。

重启后再查看 SELinux 状态如下：

```
[root@localhost ~]# getenforce
Permissive
[root@localhost ~]# sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33
```
documents and scripts for RPi and Rockchip 2024-10-25 17:48:08 +08:00			`- [描述](#描述)`
			`- [什么是 SELinux](#什么是-selinux)`
			`- [检查 SELinux 状态](#检查-selinux-状态)`
			`- [设置 SELinux 为许可状态](#设置-selinux-为许可状态)`
			`- [永久设置 SELinux 为许可状态（不推荐）](#永久设置-selinux-为许可状态-不推荐)`

			`## 描述`

			`本文介绍了如何在 openEuler 中设置 SELinux 状态。`

			`## 什么是 SELinux`

			`SELinux 是一个提供强制访问控制的安全模块，限制进程对系统资源的访问。`
			`当 SELinux 开启且强制执行时，它会阻止 chroot 其他系统的根目录修改密码，因为安全策略限制这些操作。`

			`设置 SELinux 为许可模式会增加安全风险，使系统更易受到攻击，在充分了解设置 SELinux 为许可模式将对你的系统造成影响之后再进行以下操作。`

			`## 检查 SELinux 状态`

			1. 使用 `getenforce` 查看 SELinux 状态：

			```
			`[root@localhost ~]# getenforce`
			`Enforcing`
			```

			如果为 `Enforcing` 则表示 SELinux 为开启状态且强制执行。

			2. 使用 `sestatus` 查看 SELinux 状态

			```
			`[root@localhost ~]# sestatus`
			`SELinux status: enabled`
			`SELinuxfs mount: /sys/fs/selinux`
			`SELinux root directory: /etc/selinux`
			`Loaded policy name: targeted`
			`Current mode: enforcing`
			`Mode from config file: enforcing`
			`Policy MLS status: enabled`
			`Policy deny_unknown status: allowed`
			`Memory protection checking: actual (secure)`
			`Max kernel policy version: 33`
			```

			如果为 `Current mode: enforcing` 则表示 SELinux 为开启状态且强制执行。

			`## 设置 SELinux 为许可状态`

			使用 `setenforce 0` 来将 SELinux 暂时设置为许可状态

			```
			`[root@localhost ~]# setenforce 0`
			```

			`查看修改后的 SELinux 状态：`

			```
			`[root@localhost ~]# getenforce`
			`Permissive`
			`[root@localhost ~]# sestatus`
			`SELinux status: enabled`
			`SELinuxfs mount: /sys/fs/selinux`
			`SELinux root directory: /etc/selinux`
			`Loaded policy name: targeted`
			`Current mode: permissive`
			`Mode from config file: enforcing`
			`Policy MLS status: enabled`
			`Policy deny_unknown status: allowed`
			`Memory protection checking: actual (secure)`
			`Max kernel policy version: 33`
			```

			`## 永久设置 SELinux 为许可状态（不推荐）`

			`编辑 /etc/selinux/config 文件`

			`完整内容如下：`

			```
			`# This file controls the state of SELinux on the system.`
			`# SELINUX= can take one of these three values:`
			`# enforcing - SELinux security policy is enforced.`
			`# permissive - SELinux prints warnings instead of enforcing.`
			`# disabled - No SELinux policy is loaded.`
			`SELINUX=enforcing`
			`# SELINUXTYPE= can take one of these three values:`
			`# targeted - Targeted processes are protected,`
			`# minimum - Modification of targeted policy. Only selected processes are protected.`
			`# mls - Multi Level Security protection.`
			`SELINUXTYPE=targeted`
			```

			将 `SELINUX=enforcing` 修改为 `SELINUX=permissive` 然后重启即可。

			`重启后再查看 SELinux 状态如下：`

			```
			`[root@localhost ~]# getenforce`
			`Permissive`
			`[root@localhost ~]# sestatus`
			`SELinux status: enabled`
			`SELinuxfs mount: /sys/fs/selinux`
			`SELinux root directory: /etc/selinux`
			`Loaded policy name: targeted`
			`Current mode: permissive`
			`Mode from config file: permissive`
			`Policy MLS status: enabled`
			`Policy deny_unknown status: allowed`
			`Memory protection checking: actual (secure)`
			`Max kernel policy version: 33`
			```