AlmaLinux和RockyLinux 9.0系列开启SELinux

应用场景

SELinux是构建在Linux内核中的强制访问控制安全模块，它能有效限制进程权限，防范权限提升攻击。对于生产环境，启用SELinux是提升系统安全性的重要手段。

本文以AlmaLinux 9.0和RockyLinux 9.0镜像为例，介绍如何开启SELinux。其他Linux版本，可参考开启SELinux。

前提条件

nux-policy-targeted、libselinux-utils 和 policycoreutils 软件包已成功安装在您的系统中。

可通过执行以下命令查看安装版本。

rpm -qa |grep selinux-policy-targeted
rpm -qa |grep libselinux-utils
rpm -qa |grep policycoreutils

实施步骤

操作之前，建议提前为弹性云服务器的云硬盘创建快照备份数据，避免因误操作导致数据丢失，详情可参考创建云硬盘快照。

快照会额外产生费用，可参考云硬盘快照计费说明。

1. 查看内核中是否开启SELinux。

   cat /boot/grub2/grub.cfg |grep selinux

   若显示selinux=0或enforcing=0表示未开启selinux。

   

2. 修改配置文件。

   sudo sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config; 
   cat /etc/selinux/config |grep -v "#" |grep -v "^$";

   

3. 移除内核中关于SELinux的配置。

   grubby --update-kernel ALL --remove-args selinux

4. 重新打标。

   touch /.autorelabel

5. 重启弹性云服务器。

   reboot -f

6. 验证是否开启。

   getenforce

   回显如下表示开启成功。

   

   

   若系统重启后还是disable状态，可再次执行reboot -f重启进行尝试。