SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统
SELinux安全增强型Linux系统,是Linux内核子系统,旨在最大限度的减少服务进程对文件、端口等资源的访问
一、SELinux/Firewall防护
SELinux ===》提供系统防护 //内核的功能模式
Firewalld ===》提供网络防护 //通过系统服务 firewalld
1、Security Enhanced Linux,安全增强型Linux系统
++ 比如 Web 服务,对外提供网页(默认应该 /var/www/ .. ..)
++ 比如 Web 服务,通过标准端口(80、8080等少数端口)对外提供服务
2、SElinux三种运行状态
++ Enforcing,强制(严格按策略执行保护)
++ Permissive,宽松(若有违规会记录,但不做真正限制)
++ Disabled,禁用(内核不加载SELinux)
3、如何切换不同的SELinux运行状态:
[root@A ~]# getenforce //查看selinux 状态,发现是强制开启模式
Enforcing :强制开启
[root@A ~]# setenforce 0 //修改selinux 状态,修改为宽松模式(临时生效)
[root@A ~]# getenforce //查看状态,发现已改为宽松模式
Permissive :宽松
[root@A ~]# setenforce 1 //再次修改selinux 状态, 修改为强制开启模式(临时生效)
[root@A ~]# getenforce //再次查看状态,发现已强制开启
Enforcing
++ 立即在 Enforcing 和 Permissive 之间切换(前提:当前状态不能是Disabled)
// 1 对应Enforcing,0 对应 Permissive
备注:使用setenforce 修改状态,只是临时生效,系统重启后的状态是/etc/selinux/config 的状态
如果,/etc/selinux/config 的状态是 enforcing 重启后就是enforcing
如果,/etc/selinux/config 的状态是 disabled 重启后就是disabled
如果,重启后状态是 disabled 后,就代表selinux 被禁用,就无法在使用setenforce 修改状态了
++ 设置开机后的默认SELinux状态
[root@A ~]# vim /etc/selinux/config
SELINUX=三种状态中的某一种