在linux中除了传统的 UGO 模型外 基于内核linux还开发一个叫做selinux的安全策略
他可以被看作与标准权限系统并行的一种权限系统。在常规模式中,以用户身份运行
进程,并对系统上的文件及资源都设置了权限,即使以超级用户身份也有可能被拒绝
访问。
selinux以标签的形式制定文件及资源的访问策略,即只有相同标签的服务才能访问文
件或资源。主要用于网络及相关的服务。
显示及更改 SELINUX 模式
getenforce
setenforce 0 |1
– 0 表示 permissive 警告
– 1 表示 enforcing 强制
更改 selinux 的开机状态
vim /etc/sysconfig/selinux
改为 SELINUX = disable | enforcing | permissive
可以使用命令 ls -Z 或 ps -Z 来显示 SElinux的 上下文
修改selinux的安全上下文
• chcon -t
– 一次性定制安全上下文,执行 restorecon 刷新后还原
• semanage fcontext
– 永久更改文件的上下文
例子:semanage fcontext -a -f "" -t httpd_sys_content_t '/virtual(/.*)?'
selinux的布尔值
getsebool 用于显示布尔值 , setsebool 用于修改布尔值
setsebool -P 修改 SELinux 策略 , 以永久保留修改。
semanage boolean -l 将显示布尔值是否永久