1.SElinux如何保护资源:
(1)SELinux是linux的一项重要安全功能,对文件和其他资源的访问权限是在非常精细的级别上进行控制的。
(2)SELinux是由若干策略组成,这些策略准确声明了对于应用使用的每个可执行文件、配置文件和数据文件,哪些操作和访问是被允许的,被称为targeted policy。策略声明了各个程序、文件和网络端口的预定义label
1.1为什么使用SELinux:
并非所有安全问题都可以提前预测,SELinux可以防止因为应用程序的漏洞而影响其他应用的访问,其中SELinux里有一个额外的安全层,当执行policy意味着系统某一部分的弱点不会扩散到其他部分 。
SELinux有三种模式:
(1)Enforcing:SELinux 强制执行访问控制规则,机器通常在该模式下运行。
(2)Permissive:SELinux处于活动状态,但并不强制执行访问控制规则,而是记录违反规则日志,该模式主要用于测试和故障排除。
(3)Disabled:SELinux完全关闭(需要重新启动系统)
1.2更改当前SELinux模式:
使用getenforce命令,验证servera是否处于强制模式
使用vim打开/etc/selinux/config配置文件,将SELINUX参数从enforceing更改为permissive
m并用grep命令查看是否修改成功
修改完成后使用systemctl reboot重启servera,后切换到root用户使用getenforce查看当前SELinux模式
使用vim命令打开/etc/selinux/config将SELINUX恢复为enforcing用grep命令查看是否修改成功
使用setenforce命令,在不重启情况下将SELinux模式设置为enforcing,使用getenforce命令,确认已设置为enforcing
注:使用setenforce命令时,0|1分别代表【Enforcing | Permissive】
2.1初始SELinux上下文
(1)在运行SELinux的系统上,所有进程和文件都有相应的label,代表了与安全有关的信息,称为SELinux context
(2)新文件通常从父目录继承其SELinux context
(3)许多命令都是用 -Z选项来显示或设置SELinux context的 例如:
ls -Z 命令显示文件的SELinux context
ls -Zd 命令显示目录的SELinuxcontext
2.2 更改文件的SELinux context
(1)命令包括:semanage fcontext、restorecon和chcon
semanage fcontext 命令声明文件的默认标签
restorecon 命令将该context应用于文件
chcon命令更改SELinux context ,但它不会将context更改保存到SELinux context数据库中,运行restorecon后还原
2.3定义SELinux 默认context
semangae fcontext 命令可显示和修改restorecon用来设置默认文件上下文的规则
semanage fcontext 命令
3.1使用布尔值调整SELinux策略
(1)SELinux布尔值是SELinux策略行为的参数,布尔值可以启用或禁用的规则
(2)selinux-policy-doc 软件包介绍了布尔值的用途。使用man-k‘_selinux'命令可以列出
(3)管理SELinux布尔值的命令包括:
-getsebool:列出布尔值及其状态
-setsebool:修改布尔值
-setsebool -P:永久修改布尔值
- semange boolean -l:报告布尔值是否为永久值,并提供简短描述
总结:
1.了解SELinux基本概念,并了解到SELinux的三种模式:enforcing、permissive、disabled,学会使用getenforce查看当前模式和setenfoce命令临时修改模式,并学会如何永久设置SELinux模式,切记修改后需重新启动。
2.知道-Z的用途,学会利用semanage 命令来管理SELinux策略规则,使用restorecon命令将context应用于文件。
3.知道布尔值是SELinux策略行为的参数,布尔值是可以启用或禁用的规则,熟悉管理SELinux布尔值的命令都有哪些。
以上就是我分享的管理SELinux的安全性的内容,谢谢大家耐心看完,如果有什么不对地方,及时指出,万分感谢!