什么是SElinux?
SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX权限更好的访问控制。
大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian或 Centos。它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。
SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。由于我们的系统是rhel-server7,所以系统也是默认安装了SElinux,故我们在接下来的学习中就不用再去安装它。
SElinux的学习
学习环境:
同上一章,先rm -fr /etc/vsftpd/*
再重新安装vsftped
然后修改vim /etc/sysconfig/selinux 中将disable改为enforcing(只有这一个地方可以开启和关闭selinux)
修改后reboot重启(注:selinux的状态必须得经过重启计算机才可以得到转换)