以下实验所有实操都是在redhat7.0上
什么是selinux?
SELinux(Security-Enhanced Linux)是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制(MAC,Mandatory Access Control)的安全子系统。Linux系统使用SELinux技术的目的是为了让各个服务进程都受到约束,使其仅能获取到本应获取的资源。
例如,你在电脑上安装了一个美图软件,当你在全神贯注地使用它给照片进行美颜时,它却在后台默默监视着你的QQ聊天记录,而这显然不应该是它应做的事情,如果是监视电脑中的图片资源还说的过去。SELinux安全子系统就是为了杜绝此类情况而设计的,它能够从多方面监控违法行为:对服务程序的功能进行限制(SELinux域限制可以确保服务程序做不了出格的事情);对文件资源的访问限制(SELinux安全上下文确保文件资源只能被其所属的服务程序进行访问)。“SELinux域”和“SELinux安全上下文”是SELinux的双保险,使服务程序无法进行越权操作。
加强型防火墙作用:
SELinux主要作用就是最大限度的减小系统中服务进程可访问的资源(最小权限原则),SELinux的安全模型叫MAC(Mandatory Access Control,强制访问控制)
安全上下文:每个进程、文件和目录都有自己的安全上下文,进程具体是否能够访问文件或目录,就要看这个安全上下文是否匹配。如果进程的安全上下文和文件或目录的安全上下文能够匹配,则该进程可以访问这个文件或目录。当然,判断进程的安全上下文和文件或目录的安全上下文是否匹配,则需要依靠策略中的规则。举个例子,我们需要找对象,男人可以看作主体,女人就是目标了。而男人是否可以追到女人(主体是否可以访问目标),主要看两个人的性格是否合适(主体和目标的安全上下文是否匹配)。不过,两个人的性格是否合适,是需要靠生活习惯、为人处世、家庭环境等具体的条件来进行判断的(安全上下文是否匹配是需要通过策略中的规则来确定的)。
1.每个文件有一个标签CONTEXT(安全上下文),当一个文件的安全上下文和程序的安全上下文匹配时,访问是被允许的,否则访问失败(这个程序可以看什么类型的文件)
对于进程也是如此 当某进程安全上下文和文件的安全上下文匹配时,进程可以访问此文件,否则访问失败;
2.默认情况下,ftp一些功能开启,给程序加了sebool开关
最低0.47元/天 解锁文章
198
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
