本文介绍了SELinux如何通过策略保护资源,区分自由决定的DAC和强制访问的MAC,阐述SELinux上下文的作用,setenforce0命令的含义,以及如何定义和应用文件上下文规则,确保/httpd_sys_content_t类型的文件权限管理。
系列文章
第一章 提高命令行生产效率
第二章 计划将来的任务
第三章 调优系统性能
第四章 使用ACL控制对文件的访问
目录
SELinux是如何保护资源的?
SELinux由若干组策略组成,这些策略声明了哪些进程可以对资源进行哪些操作。SELinux将进程端口和文件系统联系起来,在进程运行时保护资源。
什么是自由决定的访问控制(DAC)?它有什么特点?
像标准Linux权限安全模型这种基于用户和组的模型称为自由决定的访问控制。它的特点是资源的拥有者可以者可以任意修改或者授予此资源相应的权限。
什么是强制访问控制(MAC)?它有什么特点?
像SELinux这种基于对象并由更负载的规则控制,称为强制访问控制。它的特点是资源的拥有者并不能决定谁可以接入到资源。具体决定是否可以接入到资源,是基于安全策略。而安全策略则是有一系列的接入规则组成,并仅有特定权限的用户有权限操作安全策略。
什么是SELinux上下文?
在SELinux中,每个文件、进程、目录和端口都有专门的安全标签,称为SELinux上下文。SELinux策略使用这些标签也就是SELinux上下文来确定某个进程能否访问文件、目录或端口。
setenforce 0命令的作用是什么?
setenforce 0命令将SELinux设为许可模式,即SELinux处于活动状态,但并不强制执行访问控制规则,而是记录违反规则的警告。
定义一条SELinux 文件上下文规则,以便将 /custom 目录及目录中所有文件的上下文类型设置为httpd_sys_content_t。
semanage fcontext -a -t httpd_sys_content_t ‘/custom(/.*)’。这个命令只是声明上下文规则,接下来要使用restorecon -Rv /custom命令将上下文应用于文件。
241
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
