最近重装服务器，顺便把系统换成了 CentOS 4.3 。结果发现终端登录的时候如果想 su 到 root 用户的时候会出现一段要求用户交互的文字：

$ su -
Password:
Your default context is root:system_r:unconfined_t.
Do you want to choose a different one? [n]

　　这是因为安装的时候启用了 SELinux ；而 CentOS 新版本对于 su 的处理除了要求输入 root 的密码之外，还要求确认 SELinux 的上下文信息。这句确认信息虽然基本上可以直接按回车忽略过去，但对于一些需要 su 的自动脚本来说就是不必要的麻烦了。

　　解决方法是修改 /etc/pam.d/su 文件，把其中的

session    required     /lib/security/$ISA/pam_selinux.so open multiple
　　这行改成
session    required     /lib/security/$ISA/pam_selinux.so open

　　也就是去掉 multiple 选项即可。当然如果觉得完全不需要 SELinux 提供的内核保护的话，也可以修改 /etc/selinux/config 配置文件，把 SELLINUX 参数改为：

SELINUX=disabled

　　该配置文件将被 init 读取，当你重启系统之后使用 getenforce 命令查看 SELinux 的状态应该就可以看到已经是 disabled 了。据说也可以把 SELINUXTYPE 参数改为 SELINUXTYPE=strict 来解决。

　　这个问题似乎在 CentOS 4 / RHEL4 的某些版本上都存在。之前用的老版系统则不需要修改任何配置。

　　附： Introducing SELinux , rhel4-tut , Think before deploying Security-Enhanced Linux in RHEL 4