SELinux 初探

SELinux:Security Enhanced Linux。SELinux 是 NSA(美国国家安全局)开发设计,整合到 Linux 内核中的一个模块。

0. 基本概念

  • DAC(Discretionary Access Control),自主访问控制,传统的文件权限和账号关系;

    系统账号主要分为系统管理员(root)与一般用户,这两种身份能否使用系统上面的文件资源则与 rwx 的权限设置有关。自然各种权限设置对 root 是无效的。因此,当某个进程想要对文件进行访问时,系统就会根据该进程的所有者、用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。这种访问文件系统的方式呗称为“自主访问控制”(DAC),基本上就是依据进程的所有者与文件资源的 rwx 权限来决定有无访问的能力。

  • MAC(Mandatory Access Control),强制(委托)访问控制,以策略规则制定特定程序读取特定文件;

    MAC 可以针对特定的进程特定的文件资源来进行权限的控制,即使是 root,在使用不同的进程时,所能取得的权限不一定是 root,而是要看当时该进程的设置而定。如此一来,我们针对控制的“主体”编程了“进程”而不是“用户”。

1. SELinux 的运行模式

SELinux 通过 MAC 的方式来控管进程,其控制的主体(subject)是进程,而目标(object)则是该进程能否读取的“文件资源”,即其重点在于主体如何取得目标的资源访问权限。


这里写图片描述

2. SELinux 的启动、关闭与查看

并非所有的 linux distributions 都支持 SELinux。CentOS 5.x 本身就支持 SELinux,因 SELinux 是一种 linux 内核模块,因此无需自行编译 SELinux 到 Linux 内核中。

# getenforce
Enforcing
            # SELinux 支持三种模式,分别如下:
                enforcing:强制模式,代表 SELinux 正在运行中,已经开始限制 domain(主体程序,subject)/type(文件资源 object) 了
                permissive:容许模式,代表 SELinux 正在运行中,不过仅会有警告信息并不会实际限制 domain/type 的访问,用于 SELinux 的调试;
                disabled:SELinux 未运行;
# sestatus
            # 列出目前的 SELinux 的策略(policy)
# vim /etc/selinux/config   # selinux 配置文件
            SELINUX=enforcing,调整 enforcing|permissive|disabled
            SELINUXTYPE=targeted,目前仅有 targeted 与 strict
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

五道口纳什

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值