1.SELinux简介
SELINUX ( 安全增强型 Linux ) 是可保护系统安全性的额外机制。
在某种程度上,它可以被看作是与标准权限系统并行的权限系统。在常规模式中,以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权。 SELINUX 的另一个不同之处在于 , 若要访问文件 ,
你必须具有普通访问权限和 SELINUX 访问权限。因此,即使以超级用户身份root 运行进程,根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源限 ) 标签。
getenforce
2)SELinux的三种状态
Disabled 代表 SELinux 被禁用
Permissive 代表仅记录安全警告但不阻止可疑行为
Enforcing 代表记录警告且阻止可疑行为
状态切换
在关闭(Disabled)与开启警告permissive、开启强制Enforcing之间进行切换。需要对配置文件:/etc/sysconfig/selinux 进行修改,后重新启动系统。
setenforce 0 ##临时更改SELinux的状态为警告不阻止 Permissive
setenforce 1 ##临时更改SELinux的状态为警告并且阻止 Enforcing
2、类型强制的安全上下文
安全上下文是一个简单的、一致的访问控制属性,主要体现在以下两点:
1 限制文件访问。文件必须拥有相匹配的安全上下文才能being识别访问。
2 对服务,限制认为不安全的服务功能, 设置开关。 开关默认关闭需要时可以打开。
ls -Z #检查文件、目录的安全上下文;
ps -Z #检查进程的安全上下文;
mv:安全上下文则不变;
cp:会重新生成安全上下文。
当selinux处于disabled时候,无安全上下文。文件以及服务的功能不会被限制。
[root@localhost ~]# touch /mnt/file1 #新建文件
[root@localhost ~]# mv /mnt/file1 /var/ftp/ #将其移动到公共家目录中
[root@localhost ~]# ls /var/ftp/
file1 pub
[root@localhost ~]# lftp 172.25.254.111 #使用匿名用户进行访问
lftp 172.25.254.204:~> ls #可以看到所有存在的文件,没有安全上下文的限制
-rw-r--r-- 1 0 0