改为 enforcing 模式 - Amazon Linux 2023
编辑配置文件以启用 enforcing 模式使用 cloud-init 启用 enforcing 模式
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

改为 enforcing 模式

当您在enforcing模式SELinux下运行时,该SELinux实用程序就是配置enforcing的策略。 SELinux通过根据策略规则允许或拒绝访问来控制选定应用程序的功能。

要查找当前SELinux模式,请运行getenforce命令。

getenforce
Permissive

编辑配置文件以启用 enforcing 模式

要将模式更改为enforcing,请执行以下步骤。

  1. 编辑 /etc/selinux/config 文件以改为 enforcing 模式。该SELINUX设置应类似于以下示例。

    SELINUX=enforcing

  2. 重新启动系统以完成改为 enforcing 模式。

    $ sudo reboot

下次启动时,SELinux重新标记系统中的所有文件和目录。 SELinux还添加了创建时SELinux创建的文件和目录的SELinux上下文disabled

切换到enforcing模式后,SELinux可能会因为SELinux策略规则不正确或缺失而拒绝某些操作。您可以使用以下命令查看SELinux拒绝的操作。

$ sudo ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent

使用 cloud-init 启用 enforcing 模式

或者,当您启动实例时,请将以下 cloud-config 作为用户数据传递以启用 enforcing 模式。

#cloud-config
selinux: 
  mode: enforcing

默认情况下,此设置会导致实例重启。为了提高稳定性,建议您重启实例。但是,如果您愿意,可以通过提供以下 cloud-config 来跳过重新启动。

#cloud-config
selinux:
  mode: enforcing
  selinux_no_reboot: 1