SELinux
1.SElinux概念
SElinux(Security Enhanced Linux),意思是安全强化的Linux。
SElinux是对程序、文件等权限设置依据的一个内核模块。由于启动网络服务的也是程序,因此刚好也是能够控制网络服务能否访问系统资源的一道关卡。
以策略规则制定特定程序读取特定文件:强制访问控制,MAC(mandatory access control)MAC可以针对特定的进程与特定的文件资源来进行权限控制。例子:即使你是root,在使用不同进程时,你所能取得的权限不应定是root,而是看该进程的设定。如此一来,就可以针对进程而不是用户对文件来进行访问控制。此外,这个进程也不能任意使用系统文件资源,因为每个文件资源也有针对进程设置可取用的权限。由于,整个系统进程那么多,文件那么多,所以SELinux也提供一些默认的策略(policy),并在该策略内提供多个规则,让你可以选择是否启用该控制规则。
2.SElinux的运行模式
SElinux是通过MAC的方式来控制管理进程,它控制的主体是进程,而目标则是该进程能否读取的文件资源。
-
主体(subject):就是进程
-
目标(object):被主体访问的资源,可以是文件、目录、端口等。
-
策略(policy):由于进程与文件数量庞大,因此SELinux会依据某些服务来