今天先写现象:
某台服务器由于误操作启动了SELinux,导致了服务器无法登陆,原有用户名口令全部失效。再关闭SElinux后,恢复正常。
我现在的好奇在于,SElinux基于什么样的原理阻止了单用户模式下的passwd命令执行。
SELiunx原理:
通过一个在linux内核外挂的模块LSM(Linux Security Modules),在原生linux的权限管理后增加了一个钩子(hook),在原生权限检查后,通过这个钩子增加了SELinux的策略检查。通过这个被称为类型强制的机制,可以进行文件读写,目录属性,TCP连接等各类资源的管理。其中就包括系统管理的限制,能够限制passwd的可执行用户。也就是说如果需要启用SELinux,就需要一个完整的,完备的策略组。管理的过严会给日常管理带来极大不便,管理过松就失去了意义。