RedHat Enterprise Linux AS 4.0中安全方面的最大变化在于集成SELinux的支持。
SELinux的全称是Security Enhanced Linux,是由美国国家安全局NSA开发的访问控制体制。
SELinux可以最大限度地保证Linux系统的安全。至于它的作用到底有多大,举一个简单的例子可以证明:没有SELinu
x保护的Linux的安全级别和Windows一样,是C2级,但经过保护SELinux保护的Linux,安全级别则可以达到B1级。
下面在举一个例子来说明。如果我们把/tmp目录下的所有文件和目录权限设置为0777,这样在没有SELinux保护的情
况下,任何人都可以访问/tmp 下的内容。而在SELinux环境下,尽管目录权限允许你访问/tmp下的内容,但SELinux
的安全策略会继续检查你是否可以访问。
1. 启用SELinux
我们在安装RedHat Enterprise Linux AS 4.0的过程中,可以选择“激活”、“警告”或者“关闭”SELinux
。默认设置为“激活”。
2. 配置SELinux策略
RedHat Enterprise Linux AS 4.0安装之后,我们可以执行“应用程序”-->“系统设置”-->“安全级别”,
或者直接在控制台窗口输入“system-config- securitylevel”来打开“安全级别”设置窗口。在“SELinux”选项
页中,我们不但可以设置“启用”或者“禁用”SELinux,而且还可以对已经内置的SELinux策略进行修改.
3. 主要的Selinux操作
ls -Z
ps -Z
id -Z
这三个命令的-Z参数专为SELinux而增加的,可以看到文件,进程和用户的SELinux属性情况.
重要命令:
chcon
========================================================================
如何开启或关闭SELinux
From OSWikiHK
[编辑]
RedHat的 /etc/sysconfig/selinux
在新版本中的Red Hat 和 Fedora 上,修改档案/etc/sysconfig/selinux:
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELINUXTYPE=targeted
把 SELINUX设定为disable, 下次启动系统后将会停止SElinux。
[编辑]
Linux核心参数(Kernel Parameter)
或者可以在核心参数后加上: selinux=0 (停止) 或 selinux=1 (开启)参数
档案/boot/grub/menu.lst
title Fedora Core (2.6.18-1.2798.fc6)
root (hd0,0)
kernel /vmlinuz-2.6.18-1.2798.fc6 ro root=LABEL=/ rhgb quiet selinux=0
initrd /initrd-2.6.18-1.2798.fc6.img
[编辑]
检查SELinux现时况态
要知到你现在是否使用 SELinux:
# getenforce
Enforcing
Redhat中Selinux的用法
最新推荐文章于 2022-10-24 05:36:03 发布