centos7关闭selinux linux关闭selinux命令

大家好，关于centos7关闭selinux很多朋友都还不太明白，今天小编就来为大家分享关于linux关闭selinux命令的知识，希望对各位有所帮助！

centos7 无法启动,报错Failed to start Login service等

排错思路：

既然卡在登录界面，那就是bash环境的问题，或者用户问题

bash环境查看是不是有文件损坏，之前是不是操作了链接文件到普通用户目录下等，再者就是查看Selinux关闭了没有

用户问题就查看/etc/passwd和/etc/shadow文件是否正常。

解决方法

进入救援模式

打出命令，有些回显是乱码，于是更换编码，这下可以正常看到报错回显了。

查看/var/log/secure登录日志，发现就没有登录。那就是用户问题了，到/etc下，查看passwd文件，查看是空白的（这里就很莫名其妙）。

最后把同级目录下passwd-备份文件恢复了下就可以了。

这个passwd-是系统默认备份的，默认就有的。

求助centos7,mysql 启动服务出错的问题

一、my.cnf配置文件datadir项配置错误或被启动脚本篡改

这个问题不太说讲，主要是mysql自带的启动文件（/etc/init.d/mysqld）中会自动检测mysql的数据存储目录，若mysql新装，尚未初始化系统表，那么配置文件中的datadir项写不写无所谓，出现这种情况主要是在更改了mysql的数据存储目录，今天我出现的这个问题就在于此。

我的mysql安装后的配置文件中关于datadir项目的配置如下，而该配置文件存储于/etc/my.cnf，今儿不知动了什么东西，查来查去都没找着原因，后来打开该配置文件才发现，其中的datadir项目被篡改成/var/mysql/data了.....

[mysqld] datadir=/data/mysql socket=/tmp/mysql.sock user=mysql

二、进程里已经存在mysql进程

这种情况我很少遇到，若存在mysql进程但有不提供mysql服务（表现为其他客户端连接不上mysql服务器，例如php连接mysql时提示“连接失败”），这个时候就要看看有没有存在的mysql僵尸进程了，命令如下：

ps-ef|grep mysql

若存在，该命令执行后会列出存在的僵尸进程，kill-9 `pid`掉即可。

三、mysql的数据存储目录权限不足

这种情况发生于mysql第一次安装或升级，配置文件中的datatdir目录的权限要设定好，一般来说运行mysql的用户以及组就是mysql.mysql，那么解决权限不足问题的方法如下：

chown-R mysql.mysql/data/mysql##该命令仅为示例，其中/data/mysql就是mysql配置文件中datadir的目录##若为空，则默认为mysql安装目录下的data文件夹下

四、覆盖安装或升级mysql后，残余数据的影响

这种情况发生于mysql被覆盖安装或升级后，当然mysql无故宕机后也会有这种情况，可能会影响mysql启动的数据文件，一般存在于mysql的数据存储目录（这个目录依据my.cnf配置文件中的datadir而异），也就是存在于mysql数据存储目录下的mysql-bin.index文件，删除之即可。

五、selinux的问题，centos下最容易出现

selinux不甚了解，直接关掉。

##方法1：永久关闭seliux##修改 vi/etc/selinux/config#文件中设置SELINUX=disabled，然后重启服务器##方法2：暂时关闭seliux setenforce 0##如需每次开机都铃声关闭seliux，则可以在/etc/rc.d/rc.local文件中添加该命令

六、mysql运行状态下删除binary日志后重启失败

这是今天在群里的一个朋友出现的，特汇总于此；当mysql开启了二进制日志并且mysql在运行状态下用rm命令删除过mysql的binary日志文件的话，下次重启mysql你就悲剧了。

什么是binary日志？说白了就是mysql的数据目录下的mysql-bin.000001、mysql-bin.000002的文件。

解决方法就是修改配置文件临时关闭binary-log，然后删除mysql数据目录下的所有类似mysql-bin.000001、mysql-bin.000002的文件后再次重启，mysql即可启动成功。

#mysql配置关闭二进制日志找到如下语句注释掉即可#log-bin=mysql-bin#binlog_format=mixed

此步骤操作完毕之后，若还需要启用二进制日志，那么就要先停掉mysql服务，然后修改msyql的配置文件，再次重启即可。

另外再附上正确删除mysql二进制日志文件的方法（绝对不是rm-rf命令直接删这些文件）：

#第一步通过shell或cmd登录进mysql这步没什么好说的 msyql-u root-p***#第二步在mysql下直接执行清理binary日志命令 mysql> reset master#注意：此处仅针对单台mysql而言，若有互备mysql则执行该命令有风险。

CentOS上的安全防护软件Selinux详解

selinux简介

SELinux(Security-Enhanced Linux)是美国国家安全局（NSA）对于强制访问控制的实现，是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上，也可以作为其他发行版上容易安装的包得到，2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中

DAC：Discretionary Access Control自由访问控制

MAC：Mandatory Access Control强制访问控制

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源（文件和端口）

默认情况下，没有被明确允许的行为将被拒绝

selinux的工作类型

selinux一共有四种工作类型

strict：每个进程都受到selinux的控制

targeted：用来保护常见的网络服务，仅有限进程受到selinux控制，系统当中默认设置类型

minimum：这个模式在centos7上，是targeted的修改版，只对选择的网络服务，仅对选中的进程生效

mls：提供mls机制的安全性，国防级别的

selinux安全上下文

传统的linux，一切皆文件，由用户、组、权限来进行访问控制，这当中有很多的缺陷

在selinux中，一切皆对象（进程），有存放在inode的扩展属性域的安全元素所控制其访问

所有文件和端口资源和进程都具备安全标签，这就是安全上下文

安全上下文有五个元素组成

system_u:object_r:admin_home_t:s0

user：role：type：sensitivity：category

user：指示登录系统的用户类型，如root，user_u,system_u,多数本地进程都属于自由进程

role：定义文件，进程和用户的用途，文件：object_r,进程和用户：system_r

type：指定数据类型，规则重定义何种进程类型访问何种文件，target策略基于type实现，多服务功用，public_content_t

sensitivity：限制访问的需要，由组织定义的分层安全级别，如unclassified，secret，top,一个对象有且只有一个sensitivity，分0-15个级别，s0最低，target策略默认使用是s0

category：对于特定组织划分不分层的分类，如FBI secret，NSA secret，一个对象可以有多个category，c0-c1023共1024个分类，target策略不适用category

查看安全上下文

ls Z; ps-Z

期望（默认）上下文：存放在二进制的selinux策略库中

semanage fcontext l查看系统中的默认安全上下文

@font-face{

font-family:宋体;

}@font-face{

font-family: Cambria Math;

}@font-face{

font-family: Calibri;

}@font-face{

font-family:@宋体;

}p.MsoNormal, li.MsoNormal, div.MsoNormal{ margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: Calibri,sans-serif;}.MsoChpDefault{ font-family: Calibri,sans-serif;}div.WordSection1{}

selinux策略

对象（object）：所有可以读取的对象，包括文件、目录和进程，端口等

主体：进程称为主题（subject）

selinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋予各自的一个domain标签。domain标签能够执行的操作由安全策略里定义

当一个subject视图访问一个object，kernel中的粗略执行服务器将检查AVC，在AVC中，subject和object的权限被缓存，查找应用+文件的安全环境，然后根据查询结果允许或拒绝访问

安全策略：定义主体读取对象的规则数据库，规则中记录了那个类型的主体使用了那个方法读取哪一个对象是允许还是拒绝的，并且定义了那种行为是允许或拒绝

设置selinux

配置selinux

selinux是否启用

给文件重新打安全标签

给端口设置安全标签

设定某些操作的布尔型开关

selinux的日志管理

selinux的状态

enforcing：强制，每个受限的进程都必然受限

permissive：允许；每个受限的进程违规操作不会被禁止，但会被记录与审计日志

disabled：禁用，允许任何操作

getenforce：获取selinux当前状态

sestatus：查看selinux状态

setenforce 0|1

0：设置为permissive

1：设置为enforcing

配置文件

/etc/sysconfig/selinux链接文件链接到/etc/selinux/config

/etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing SELinux security policy is enforced.

# permissive SELinux prints warnings instead of enforcing.

# disabled SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

# targeted Only targeted network daemons are protected.

# strict Full SELinux protection.

SELINUXTYPE=targeted

SELINUX=enforcing设置selinux的状态

SELINUXTYPE=targeted设置selinux的工作类型

设置selinux也可以在开机的时候设定，在/boot/grub/grub.conf文件内核那一行后面设定selinux的状态selinux=0|1,只要配置文件或内核设定为禁用，最后selinux的状态为禁用

注意：在从disabled状态切换至enforcing或permissive状态需要重启系统，这时候系统会对每一个文件一一重打标签，需要花费一定的时间。

修改selinux的安全标签

给文件重新打安全标签

chcon [OPTION] [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE..

chcon [OPTION] reference=RFILE FILE..

-R：递归打标，对目录而言

例如我想给自己定义的web文档根目录自定义为/htdocs

chcon-R httpd_sys_content_t/htdocs

恢复目录或文件默认的安全上下文

resotrecon [-R]/path/to/somewhere

例如：我又将web的文档根目录改为原来的目录，这时候自定义的目录的标签需要还原

restorecon-R/htdocs

恢复是根据策略库当中的策略进行还原

默认安全上下文查询与修改

semanage来自policycoreutils-python包，有些系统默认没有安装，安装次包即可使用semanage命令

查看默认的安全上下文

semanage fcontext l

添加安全上下文

semanage fcontext-a t httpd_sys_content_t/home/hadoop(/.*)?

restorecon Rv/home/hadoop此步骤一定不能忘记，它从策略库进行还原安全上下文，执行此命令才会生效

删除安全上下文

semanage fcontext d t httpd_sys_content_t/home/hadoop(/.*)?

selinux端口标签

查看端口标签

semanage port-l

添加端口

semanage port-a-t port_label p tcp|udp port

semanage port a-t htt_port_t-p tcp 8080

删除端口

semanage port-d-t port_label-p tcp|udp port

semanage port-d-t htt_port_t-p tcp 8080

修改现有（已存在）端口为新标签

semanage port-m t port_label p tcp|udp port

semanage port m t ssh_port_t p tcp 8080将ssh服务的端口改为8080

selinux布尔值

查看布尔值命令

getsebool [-a] [boolean]

semanage boolean l-C查看修改过的布尔值

设置bool值命令

setsebool [-P] boolean value（on|off|1|0）

setsebool httpd_enable_homedirs on|1开启httpd家目录访问，但不会写入策略库中

setsebool-P httpd_enable_homedirs on|1

修改bool值时后面的值可以对布尔值类型后跟=加值的设置方法

setsebool httpd_enable_homedirs=on

selinux的日志管理

需要安装settroublesshoot*安装此包需要重启系统才能生效，它会将错误日志记录到/var/log/message

grep setroubleshoot/var/log/message

sealer-l UUID

查看安全事件日志说明

sealert-a/var/log/audit/audit.log

扫描并分析日志

yum-y install selinux-policy-devel（centos7）

yum y install selinux-policy-doc（centos6）

mandb| makewhatis需要更新man帮助的数据才能查询

man-k _selinux

例如man httpd_selinux

总结：selinux在安全防护上确实起到了一定的作用，它是在内核层面来工作，往往有许多的漏洞，一旦黑客利用漏洞入侵系统后果不堪设想，还有其操作的繁琐和稳定性的欠缺的导致很多企业不愿意用到selinux，一般都会使用硬件的安全防护设备，所以我们只需要作为了解，知道有这么个东西，如何开关闭及一些简单的操作即可。