文章內(nèi)容

關(guān)閉SeLinux Linux服務器無需重啟的方法

發(fā)布時間: 2012/7/6 17:49:56

隨著公司業(yè)務的不斷開展，最近又租了臺Linux服務器，本想用Debian，但機房的管理人員不會裝，只好用RHEL5代替。
因為系統(tǒng)而要用Zend optimizer,我裝的是v3.3，安裝過程一切順利，重啟apache后發(fā)現(xiàn)并沒有加載Zend optimizer模塊，在apache的error_log里也沒有發(fā)現(xiàn)記錄，執(zhí)行php -v命令有以下輸出：

Failed loading /usr/local/Zend/lib/Optimizer-3.3.0/php-5.1.x/ZendOptimizer.so: /usr/local/Zend/lib/Optimizer-3.3.0/php-5.1.x/ZendOptimizer.so: cannot restore segment prot after reloc: Permission denied

上網(wǎng)查找原因，說是seLinux的原因，服務器確實開著selinux的，更改selinux的配置文件將其設(shè)為disable，可我不想重啟服務器，有以下解決辦法：

執(zhí)行命令：setenforce 0 就可以不重啟關(guān)閉selinux了，不過關(guān)閉selinux而使zend optimizer生效畢竟不是完美的解決辦法，繼續(xù)關(guān)注中。
附selinux的資料：

selinux簡介
SElinux 在linux內(nèi)核級別上提供了一個靈活的強制訪問控制系統(tǒng)(MAC)，這個強制訪問控制系統(tǒng)是建立在自由訪問控制系統(tǒng)(DAC)之上的。
DAC是指系統(tǒng)的安全訪問控制都是由系統(tǒng)管理員root自由管理的，不是系統(tǒng)強制行為
MAC運行的時候，比如一個應用程序或者一個線程以某個用戶UID或者SUID運行的時候同樣對一些其他的對象擁有訪問控制限制，比如文件,套接子（sockets）或者其他的線程
通過運行SElinux MAC內(nèi)核可以保護系統(tǒng)不受到惡意程序的侵犯，或者系統(tǒng)本身的bug不會給系統(tǒng)帶來致命影響（把影響限定在一定范圍內(nèi)）
SElinux為每一個用戶，程序，進程，還有文件定義了訪問還有傳輸?shù)臋?quán)限。然后管理所有這些對象之間的交互關(guān)系
對于SELinux設(shè)定的對象全限是可以根據(jù)需要在安裝時候規(guī)定嚴格程度，或者完全禁用
在大多數(shù)情況下，SElinux對于用戶來說是完全透明的，普通用戶根本感覺不到Selinux的存在，只有系統(tǒng)管理員才需要對這些用戶環(huán)境，以及策略進行考慮。這些策略可以按照需要寬松的部署或者應用嚴格的限制，Selinux提供了非常具體的控制策略，范圍覆蓋整個linux系統(tǒng)

比如，當一個對象如應用程序要訪問一個文件對象，內(nèi)核中的控制程序檢查訪問向量緩存(AVC),從這里尋找目標和對象的權(quán)限，如果在這里沒有發(fā)現(xiàn)權(quán)限定義，則繼續(xù)查詢安全定義的上下關(guān)聯(lián)，以及文件權(quán)限，然后作出準許訪問以及拒絕訪問的決定。如果在var/log/messages出現(xiàn)avc: denied信息,則表明訪問拒絕。
目標和對象通過安裝的策略來決定自身的安全關(guān)聯(lián)，同時這些安裝的策略也負責給系統(tǒng)產(chǎn)生安全列表提供信息。
除了運行強制模式以外，SELinux可以運行在許可模式，這時候，檢查AVC之后，拒絕的情況被記錄。Selinux不強制使用這種策略.
以下介紹一下SELinux相關(guān)的工具
/usr/bin/setenforce 修改SELinux的實時運行模式
setenforce 1 設(shè)置SELinux 成為enforcing模式
setenforce 0 設(shè)置SELinux 成為permissive模式
如果要徹底禁用SELinux 需要在/etc/sysconfig/selinux中設(shè)置參數(shù)selinux=0 ，或者在/etc/grub.conf中添加這個參數(shù)
/usr/bin/setstatus -v
察看系統(tǒng)的狀態(tài)