SElinux
SELinux(Security-Enhanced Linux) 是 美国国家安全局(NSA)对于 强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、 Debian或 Centos。它们都是在 内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多 用户层的库和工具,它们都可以使用 SELinux 的功能。
实验准备:
[root@localhost ~]#systemctl start vsftpd #开启vftpd服务
[root@localhost ~]# vim /etc/sysconfig/selinux #修改SElinux配置文件
disabled--->enforcing #开启SElinux安全服务
[root@localhost ~]# reboot #修改SElinux配置文件后必须重启才能生效
SElinux状态
1、enforcing #强制,如果违反策略,会发出警告,但无法继续操作
2、disable #关闭状态
3、permissive #警告,如果违反策略,会发出警告,但可以继续操作。查看警告信息:cat /var/log/messages
1.安全上下文
所有的操作系统访问控制都是基于与主体和客体相关的访问控制属性的。在SELinux中,访问控制属性杯称作安全上下文。所有的客体(文件,进程间通信,通信管道,套接字,网络主机等)和主体(进程)有一个和他们相关的单一安全上下文。一个安全上下文有三个元素:用户,角色和类型标识符。指定和显示一个安全上下文常用的格式如下&#