目录
SELinux:Secure Enhanced Linux 安全加强的Linux
工作于Linux内核中
sandbox沙箱
DAC:自主访问控制
MAC:强制访问控制
一、SELinux有两种工作级别
strict:每个进程都受到selinux的控制
targeted:仅有限个进程受到selinux控制
只监控容易被入侵的进程
二、subject operation object
subject:进程
object:进程,文件,
文件:open, read, write, close, chown, chmod
subject:domain 域
object:type 类型
SELinux为每个文件提供了安全标签,也为进程提供了安全标签
user:role:type
user:SELinux的user;
role:角色
type:类型
SELinux规则库:
规则:哪种域能访问哪种或哪些种类型内文件
配置SELinux:
SELinux是否启用
给文件重新打标
设定某些布型特性
三、配置SELinux
1.SELinux的状态
enforcing:强制,每个受限的进程都必然受
permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录于审计日志
disabled:关闭
相关命令:
getenforce:获取selinux当前状态
setenforce 0|1
0:设置为permissive
1:设置为enforcing
P.S. 此设定:重启系统后无效
配置文件:/etc/sysconfig/selinux, /etc/selinux/config
SELINUX={disabled|enforcing|permissive}
2.给文件重新打标
chcon
chcon [OPTION]... CONTEXT FILE...
chcon [OPTION]... [-u USER] [-r ROLE] [-t TYPE] FILE...
chcon [OPTION]... --reference=RFILE FILE...
-R:递归打标
还原文件的默认标签:
restorecon [-R] /path/to/somewhere
3.布尔型规则
①getsebool
getsebool [-a] [boolean]
②setsebool
setsebool [ -P] boolean value | bool1=val1 bool2=val2 ...
-P 永久有效
SELinux的日志文件:/var/log/audit/audit.log
回顾
selinux:内核,安全加强
开启:
/etc/sysconfig/selinux, /etc/selinux/config
# setenforce
# getenforce
打标:
chcon [-t TYPE]
-R
布尔型:
getsebool [-a]
setsebool [-P]
参考资料:
马哥随堂笔记
注:诚恳欢迎读者对本文提出批评意见,若发现存在错误,我定第一时间修改。如果读者觉得文章对您有帮助,欢迎点赞鼓励一下哟٩(๑❛ᴗ❛๑)۶。