共计 1506 个字符,预计需要花费 4 分钟才能阅读完成。
Selinux
文章目录
Selinux
1.DAC 与 MAC
2.selinux 的工作级别与机制
3 selinux 的配置
1.DAC 与 MAC
DAC:Linux 本人的平安机制叫做 DAC(Discretionary Access Control,自主访问控制)
MAC:SELinux 实现的性能叫做 MAC(Mandatory Access Control,强制访问控制机制)
2.selinux 的工作级别与机制
SELinux:Secure Enhanced Linux,工作于 Linux 内核中。
SELinux 有两种工作级别:
strict:严格级别,每个过程都受到 selinux 的管制
targeted:仅无限个过程受到 selinux 的管制
只监控容易被入侵的过程
1.
2.
3.
4.
5.
SELinux 工作机制:
SELinux 采纳相似沙箱(sandbox)的形式来运行过程:
subject operation object
subject:过程
object:能够是过程,能够是文件
实用于文件的操作:open,read,write,close,chown,chmod
SELinux 为每个文件提供了平安标签,也为过程提供了平安标签:
user:role:type
user:SELinux 的 user
role:角色
type:类型
SELinux 规定库:
规定:定义了哪种域能拜访哪种或哪些种类型内的文件
遵循“法无受权即禁止”的规定,也就是说没有明确受权的所有操作均禁止
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
3 selinux 的配置
SELinux 是否启用:在 /etc/selinux/config 文件中定义
SELinux 的状态:
enforcing:强制,每个受限的过程都必然受限
permissive:启用,每个受限的过程违规操作时不会被禁止,但会被记录于审计日志
disabled:禁用
相干命令:
getenforce:获取 selinux 以后状态
setenforce 0|1
0:设置为 permissive
1:设置为 enforcing
此设定仅以后无效,重启零碎后有效
配置文件:/etc/sysconfig/selinux,/etc/selinux/config
SELINUX={disabled|enforcing|permissive}
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
给文件从新打标签:
chcon:change context,扭转上下文
chcon [option]… CONTEXT FILE…
chcon [option]… [-u USER] [-r ROLE] [-t TYPE] FILE…
chcon [option]… –reference=RFILE FILE…
-R:递归打标签
1.
2.
3.
4.
5.
6.
7.
8.
9.
还原文件的默认标签:
restorecon [-R] /path/to/somewhere(能够是文件,也能够是目录)
1.
设定某些布尔型个性:
getsebool
1.
语法:getsebool [-a] [boolean]
例:
getsebool -a
getsebool ftp_home_dir
setsebool
语法:setsebool [-PV] boolean value | bool1=val1 bool2=val2 …
-P:把设置增加进规定库,使之永恒失效,若不应用此选项则只以后无效,重启零碎会生效
参考链接:
2 Ways to Check SElinux Status in Linux