1.基本SELINUX安全性概念
1)SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制
2)在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 ,并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文 件具有哪些访问权 SELINUX 的另一个不同之处在于 , 若要访问文件 , 你必须具有普通访问权限和 SELINUX 访问权限。因此 , 即使以超级用户身份 root 运行进程 , 根据进程 以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源限 ) 标签
2.selinux安全上下文访问规则
1)WEB 服务器的 HTTPD 进程设置了 SELINUX 上下文system_u:system_r:httpd_t 标签。该上下文的重要部分是第三个用冒号分隔的字段 SELINUX 类型 : httpd_t
2)系统上的文件和资源也设置了 SELINUX 上下文标签 , 并且重要的部分是 SELINUX 类型。例如 , /var/www/html 中的文件具有类型 httpd_sys_content_t 。 /tmp 和/var/tmp 中的文件通常具有类型 tmp_t
3)Seliux 策略具有允许以 httpd_t 身份运行的进程访问标记为 httpd_sys_content_t 的文件的规则。没有规则允许这些进程访问标记有 tmp_t 的文件 , 因此将拒绝这些访问 , 即 使常规文件权限指出应该允许这些访问
3.显示及更改SELINUX模式
getenforce
setenfoce 0 | 1##0:permissive 1:enforcing
vim /etc/sysconfig/selinux##更改selinux的开机状态
4.安全上下文
1)什么确定文件的初始 SELinux 上下文 ? 通常是父目录。将父目录的上下文指定给新创建的文件。这对 vimcp 和 touch 等命令其作用 , 但是 , 如果文件是在其他位置创建 的并且保留了权限 ( 与 mv 或 cp -a 一样 ) 则还将保留 SELinux 上下文
2)许多处理文件的命令具有一个用于显示或设置 SELinux 上下文的选项 ( 通常是 -Z ) 。例如 , ps 、 ls 、 cp 和 mkdir 都使用 -Z 选项显示或设置 SELinux 上下文
3)显示上下文
ps auxZ | grep vsftpd
ls -Z
5.修改selinux安全上下文
chcon -t ##一次性定制安全上下文,执行restorecon刷新后还原
continued...
6.管理selinux布尔值
• SELinux 布尔值是更改 SELinux 策略行为的开关。SELinux 布尔值是可以启用或禁用的规则。安全管理员可以使用 SELinux 布尔值来调整策略 , 以有选择地进行调整
• 许多软件包都具有 man page *_selinux(8), 其中详细说明了所使用的一些布尔值 ; man -k ‘_selinux’ 可以轻松地找到这些手册
• getsebool 用于显示布尔值 , setsebool 用于修改布尔值
• setsebool -P 修改 SELinux 策略 , 以永久保留修改。semanage boolean -l 将显示布尔值是否永久
*改变目录安全上下文
*重新载入
*查看
*查看布尔值
*修改布尔值