改为 enforcing 模式 - Amazon Linux 2023
编辑配置文件以启用 enforcing 模式使用 cloud-init 启用enforcing模式
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

改为 enforcing 模式

当你跑步的时候 SELinux 在enforcing模式下,SELinux 实用程序enforcing是配置的策略。SELinux 通过根据策略的规则允许或拒绝访问来控制选定应用程序的功能。

要查找当前 SELinux 模式,运行getenforce命令。

getenforce
Permissive

编辑配置文件以启用 enforcing 模式

要将模式更改为enforcing,请执行以下步骤。

  1. 编辑 /etc/selinux/config 文件以改为 enforcing 模式。该SELINUX设置应类似于以下示例。

    SELINUX=enforcing

  2. 重新启动系统以完成改为 enforcing 模式。

    $ sudo reboot

下次开机时,SELinux 重新标记系统中的所有文件和目录。SELinux 还添加了 SELinux 创建时创建的文件和目录的上下文 SELinux 是disabled

切换到enforcing模式后,SELinux 可能会因为不正确或缺失而拒绝某些操作 SELinux 政策规则。您可以查看以下操作 SELinux 使用以下命令拒绝。

$ sudo ausearch -m AVC,USER_AVC,SELINUX_ERR,USER_SELINUX_ERR -ts recent

使用 cloud-init 启用enforcing模式

或者,当您启动实例时,请将以下 cloud-config 作为用户数据传递以启用 enforcing 模式。

#cloud-config
selinux: 
  mode: enforcing

默认情况下,此设置会导致实例重启。为了提高稳定性,建议您重启实例。但是,如果您愿意,可以通过提供以下 cloud-config 来跳过重新启动。

#cloud-config
selinux:
  mode: enforcing
  selinux_no_reboot: 1