2. 程式人生 > >selinux配置錯誤導致CentOS無法重啟

selinux配置錯誤導致CentOS無法重啟

阿新 發佈:2018-11-07

錯誤原因

配置關閉SELinux,結果誤操作

應修改配置檔案/etc/selinux/config中的“SELINUX”引數的值,
# SELINUX=enforcing  原始配置
SELINUX=disabled    正確

但是誤將“SELINUXTYPE”看成“SELINUX”,設定了SELINUXTYPE引數:
#SELINUXTYPE=targeted  原始配置 這個不必修改。
SELINUXTYPE=disabled  錯誤

錯誤結果

重啟後 機器就報 Failed to load SELinux policy. Freezing 錯誤 導致一直不能啟動

解決辦法:

1. 重啟時在啟動頁面,選擇你要啟動的核心 按 E, 進入 grub 編輯頁面。

2. 找到 linux16 那一行,在language 後面 也就是LANG=zh_CN.UTF-8,空格 加上 selinux=0 或者 enforcing=0 (備註:我是加入selinux=0 生效的。)

3. 然後 ctrl + x 啟動,就看到熟悉的登入介面。

4 .修改selinux配置檔案,正確關閉selinux ~!

vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#    enforcing - SELinux security policy is enforced.
#    permissive - SELinux prints warnings instead of enforcing.
#    disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#    targeted - Targeted processes are protected,
#    minimum - Modification of targeted policy. Only selected processes are protected.
#    mls - Multi Level Security protection.
SELINUXTYPE=targeted

修改完畢後,重啟。檢視是否會報錯 。over。

安全增強型 Linux(Security-Enhanced Linux)

SELinux,它是一個 Linux 核心模組,也是 Linux 的一個安全子系統。

SELinux 主要由美國國家安全域性開發。2.6 及以上版本的 Linux 核心都已經集成了 SELinux 模組。

1、SELinux 的作用及許可權管理機制

1.1 SELinux 的作用

SELinux 主要作用就是最大限度地減小系統中服務程序可訪問的資源(最小許可權原則)。

目前系統檔案許可權的管理有兩種:DAC(傳統的) 和 MAC(SELinux)

1.2 DAC

傳統的檔案許可權與帳號關係:自主式存取控制, DAC(Discretionary Access Control, DAC)

在沒有使用 SELinux 的作業系統中,決定一個資源是否能被訪問的因素是:某個資源是否擁有對應使用者的許可權(讀、寫、執行)。

只要訪問這個資源的程序符合以上的條件就可以被訪問。

而最致命問題是,root 使用者不受任何管制,系統上任何資源都可以無限制地訪問。

這種許可權管理機制的主體是使用者,也稱為自主訪問控制(DAC)。

1.3 MAC

以政策規則訂定特定程式讀取特定檔案:委任式存取控制,MAC

在使用了 SELinux 的作業系統中,決定一個資源是否能被訪問的因素除了上述因素之外,還需要判斷每一類程序是否擁有對某一類資源的訪問許可權。

這樣一來,即使程序是以 root 身份執行的,也需要判斷這個程序的型別以及允許訪問的資源型別才能決定是否允許訪問某個資源。程序的活動空間也可以被壓縮到最小。

即使是以 root 身份執行的服務程序,一般也只能訪問到它所需要的資源。即使程式出了漏洞,影響範圍也只有在其允許訪問的資源範圍內。安全性大大增加。

這種許可權管理機制的主體是程序,也稱為強制訪問控制(MAC)。

而 MAC 又細分為了兩種方式,一種叫類別安全(MCS)模式,另一種叫多級安全(MLS)模式。
在 DAC 模式下,只要相應目錄有相應使用者的許可權,就可以被訪問
在 MAC 模式下,還要受程序允許訪問目錄範圍的限制。

【總結理解】
DAC是以使用者為出發點來管理許可權的
MAC是以程式為出發點來管理許可權的


以前:root--->啟動httpd---->httpd可以訪問系統任何檔案
現在:root--->啟動httpd---->httpd只能訪問/var/www/目錄(這是MAC)規則的約束

如果httpd想要訪問其他目錄,那麼必須滿足兩個條件:DAC的rwx + MAC的規則

相關推薦

selinux配置錯誤導致CentOS無法

錯誤原因 配置關閉SELinux,結果誤操作 應修改配置檔案/etc/selinux/config中的“SELINUX”引數的值,# SELINUX=enforcing  原始配置SELINUX=disabled    正確 但是誤將“SELINUXTYPE”看成“SELI

linux異常處理:selinux配置錯誤導致無法

嚴格 log htm 1.2 模式 想要 process info 磁盤 點擊返回自學Linux集錦 linux異常處理:selinux配置錯誤導致無法重啟 一次linux無法重啟異常記錄: 當時第一反應就是梳理最近的配置變更,特別是能預知相關的就是selinux配置變

RHEL因為selinux設置失誤,無法問題。(centos適用)

ima isa 平時 ftp info 今天 下界 png centos 今天做FTP模擬的時候selinux設置出現失誤。導致系統無法重新啟動。出現如下界面 Failed To Load SELinux policy.freezing .. 網上找了下,解決方法如下:

克隆已配置CentOS 7.x NAT模式靜態IP上網,無法、上網

1.前言 很多情況下,假如我們在一臺虛擬機器已搭建了靜態IP上網,JDK和Maven等基礎環境下,自己又不想重新搭建這些環境,我們就會想到到虛擬機器克隆。 2.環境 列如在192.168.8.21,已搭建了靜態IP上網; CentOS 7.x NAT模式靜態IP上網可以參考: h

Linux fstab修改不當導致開機fsck失敗而主機無法

fsck linux 重啟失敗 今天,廣州河源的地市技術通知我,他們的機房斷電了,數據庫服務器重啟後rac2主機丟失了data3數據目錄;然後,想調整該目錄開機自動掛載,開機卻卡在了如下界面:從報錯界面看,是開機文件系統檢查fsck失敗了,問題可能是fstab文件配置問題。於是,遠程讓他輸

解決CentOS 7.1版本以上安裝好zabbix 3.4 無法zabbix-server的問題

1. 問題所在 報錯資訊:zabbix_server[46512]: segfault at 18 ip 00007f78842b4bd0 sp 00007fff1995a818 error 4 in libpthread-2.17.so[7f78842ab000+16000] 2. 產生原

CentOS配置完iptables後,失效的解決方法

因為我的伺服器上有幾個常見的服務,例如mysql,memcached,redis等,預設埠都太安全,我都會改成其他埠,但是這些埠有需要多外提供服務,所以只能用iptables來管理了:iptables -I INPUT 4 -p tcp -m state --state NEW -m tcp --dport

centos7配置靜態ip後關機結果無法聯網

最近在VMware上用centos7搭建hadoop叢集,將centos7配置好靜態ip後,當時可以用,後來關機重啟後,發現不管是ping百度還是叢集其他節點都不通。 最後發現是VMware NAT service 和 VMware DHCP service 兩個服務沒有啟

[centos] network 無法的幾種解決方法

可能的原因 network 的配置檔案中設定的 MAC 地址與主機的實際 MAC 地址不同 解決方法:使用 ifconfig 檢視與網絡卡名稱對應的 MAC 地址,在配置檔案中更新 MAC

MongoDB 3.2配置檔案directoryPerDB引數,無法

MongoDB3.2 使用過一段時間之後,想要配置下directoryPerDB引數,於是在mongod.conf配置檔案storage下加入: directoryPerDB: true 服務重啟時報錯資訊如下: 2016-07-21T02:47:14

【案例】利用innodb_force_recovery 解決MySQL服務器crash無法問題

sock ogre ogr 事務 == format span caused his 一 背景 某一創業的朋友的主機因為磁盤陣列損壞機器crash,重啟MySQL服務時 報如下錯誤: InnoDB: Reading tablespace informatio

jenkins權限配置不對導致jenkins無法登陸

每次 xxx nes 管理員 使用 pda directory read sina 提醒:每次更改權限時,要將config.xml備份一下。 在打開jenkins後,沒有創建用戶前,先不要勾選系統設置中啟用安全選項,如果勾選了,就會出現無法進入jenkins的現象。 如果

雲服務器 ECS CentOS 7 sshd 服務

開機自啟 判斷 yun art systemctl jpg html 技術分享 tps 通過下圖判斷 sshd 服務是否啟動。如果沒有啟動,執行命令 systemctl start sshd.service 啟動該服務。 執行命令 systemctl restart

記錄一次MySQL進程崩潰,無法故障排查

not pool function 解決 variables fail data class 緩沖 最近程序在跑著沒幾天,突然訪問不了,查看應用進程都還在。只有數據庫的進程down掉了。於是找到日誌文件看到如下錯誤 2017-07-24 01:58:53 19934 [N

Linux 系統 fstab錯誤導致系統無法啟動的修復

啟動 src default 密碼 .com sda img 技術 -o fstab錯誤的修復 vim /etc/fstab/dev/sda6 /mnt xfs defaults 0 0重啟後系統無法啟動,等待一段時間後輸入root的密碼可進入單用戶

使用FreeRTOS在SD卡驅動使用非系統延時導致上電不工作的情況

new i開啟 ask 函數 fault 思想 初始化 font 是否 一、問題描述在一個使用FreeRTOS的工程中,只做了SD卡的驅動,由於RTOS使用了Systick,故非系統延時函數使用的是 DWT中的時鐘周期(CYCCNT)計數功能,但是在SD卡驅動中使用了這個非

centos7 更改網絡後 無法network (解決辦法)

entos 解決辦法 ima urn rest 網關 /etc tar 網卡名 今天由於用nat與本地局域網沖突,可能和之前ENSP搭建時虛擬機沖突造成 然後修改了VMnet8的ip,網關,DNS 同時更改虛擬網絡編譯器與VMnet8保持相同 進入虛擬機,更改/etc/sy

selinux配置disable後系統無法啟動

get 思路 perm ssi AR his policy AD 鍵盤 故障現象:selinux 配置 disabled 後開機卡在滾動條無法進系統解決思路:單用戶模式下修改修改selinux 配置 單用戶進入方式 1)開機按

磁盤空間不夠導致mysql崩潰

sep pos crt ges 一次 ima val disk out 起因: 群裏有人提了句pt-ioprofile,我不知道,就查了查,想測一測,想以後可能會有幫助。 為了能看到效果,我選擇了我虛擬機上最大的壓測表Sbtest1,該表有100w數據,執行update s

MySQL無法問題解決Warning: World-writable config file ‘/etc/my.cnf’ is ignored

許可權777,任何一個使用者都可以改my.cnf,存在很大的安全隱患. 修復MySQL問題 [[email protected] ~]# chmod 644 /etc/my.cnf