setenforce Trình tạo lệnh
Tạo các lệnh setenforce để chuyển đổi chế độ SELinux
Bắt đầu với setenforce
## setenforce là gì?
Lệnh `setenforce` dùng để chuyển đổi chế độ SELinux **đang hoạt động** giữa `Enforcing` và `Permissive` mà không cần khởi động lại hệ thống. Lệnh này có thể nhận giá trị số (`1` hoặc `0`) hoặc các từ tương ứng (`Enforcing` / `Permissive`). Đây chỉ là thay đổi trong thời gian chạy – nó sẽ bị mất sau khi khởi động lại.
## Cách sử dụng
1. **Chọn chế độ**: Chọn `1` / `Enforcing` để áp dụng chính sách, hoặc chọn `0` / `Permissive` để ghi nhận các trường hợp bị từ chối mà không chặn chúng. 2. **Chạy với quyền root**: Thực thi lệnh được tạo ra với tư cách là `sudo` hoặc với quyền root. 3. **Kiểm tra**: Chạy lệnh `getenforce` để xác nhận rằng chế độ mới đã được áp dụng. 4. **Sao chép và chạy**: Sao chép lệnh vừa tạo vào terminal của bạn.
> Để giữ nguyên thay đổi sau mỗi lần khởi động lại, hãy thiết lập `SELINUX=enforcing` (hoặc `permissive`) trong `/etc/selinux/config`. `setenforce` không thể kích hoạt SELinux nếu nó đã bị vô hiệu hóa ngay từ lú
Các tùy chọn phổ biến
### `1` hoặc `Enforcing` Chuyển chế độ SELinux đang hoạt động sang Enforcing — các vi phạm chính sách sẽ bị chặn và ghi nhận. Đây là chế độ mặc định an toàn dành cho các máy chủ sản xuất.
### `0` hoặc `Permissive` Chuyển chế độ hoạt động sang Permissive — các vi phạm chính sách sẽ được ghi nhận nhưng vẫn được cho phép xảy ra. Phương pháp này hữu ích để khắc phục sự cố của một dịch vụ bị SELinux chặn: chuyển sang chế độ Permissive, tạo lại tình trạng sự cố, sau đó kiểm tra `/var/log/audit/audit.log` cùng với `audit2why`.
▶Liệu setenforce có còn tồn tại sau khi khởi động lại không?
▶Tôi đã đặt nó thành Enforcing nhưng getenforce vẫn hiển thị là Disabled — tại sao vậy?
▶Tôi nên sử dụng chế độ Permissive tạm thời vào lúc nào?
Nếu công cụ này đã giúp ích cho bạn, hãy nghĩ đến việc mua một cốc cà phê cho tôi.
Hãy mua cho tôi một cốc cà phê nhé.