-
SElinux(Security Extend linux)
Red hat Enterprise 5支持内核实施的一项新的安全策略:SElinux。SElinux是由美国国防部让安全局针对计算机基础结构开发的,SElinux允许管理员定义高度灵活的策略,让linux内核把它作为日常操作的一部。
SElinux将每个程序都编入到SElinux域内,同时将每个资源放在SElinux安全上下文中,然后根据SElinux策略定义哪个进程可以访问哪些资源。
Redhat 5支持的SElinux策略叫做目标策略,只影响指定的网络守护进程。在目标策略中,只有目标进程受到SElinux的限制,其它进程则不 受限制,目标策略只影响常用的网络应用程序,在RHEL5中,受限制的网络服务程序数量在200个以上,SElinux限制的典型应用程序如下:
dhcpd、vsftpd、httpd、mysqld、nscd、named、portmap、squid、syslogd等
SElinux的三种状态模式:
1、 Enforcing:强制模式,此模式情况下,任何违反SElinux策略的行为都被禁止,并被作为内核信息记录下来,图形界面下会跳出来一个黄色 五角星提醒你,并提供解决办法,命令行下运行tail /var/log/messages |grep run命令,将过滤出来的内容复制run后 面的内容运行。
2、 Permissive:警告模式,此模式情况下,任何违反SElinux策略的行为都不会被阻挡,只是会提醒警告用户,这个模式可以排错用。
3、 Disabled:关闭模式,此模式是不启用SElinux,和没有它是一样的。
SElinux配置文件:/etc/sysconfig/selinux,如图:
可以通过修改它改变SElinux状态;SELINUXTYPE参数用于指定SElinux使用什么策略模块保护系统,在RHEL5中默认使用的为 targeted模块,这个模块是由redhat开发的策略模块,只对Apache、sendmail、bind等网络服务进行保护,不属于这些服务的就 都属于unconfined_t,该模块可导入性高,可用性好,但不能对整体进行保护。
也可以在图形化界面下打开终端输入system-config-securitylevel,通过图形界面改变它的工作状态,如图:
需要注意的是:SElinux状态在强制模式和警告模式之间切换是不用重启计算机的,如果改成禁止模式后则必须要重启计算机才能生效。
那么怎么判断它当前的状态呢?通过命令即可查看:
getenforce:判断SElinux现在处于什么状态
setenforce:转换成强制或警告模式(setenforce 1转换成强制模式,setenforce 0转换成警告模式),如图:
每个进程都属于一个SElinux域(domain),而每一个文件都被赋予一个SElinux上下文的context值,那么如何查看它们的contex值呢?
使用命令ls -Z 或ps -Z查看上下文contex值,如图:
上面红色方框中的文件SElinux上下文或SElinux域格式字符串以冒号作为字段分隔,第一个字段为用户标识第二个字段为角色 (role),root和user_u表示文件是根用
本文详细介绍了SElinux的工作原理和在Red Hat Enterprise 5中的应用,包括其三种状态模式:强制模式、警告模式和关闭模式。SElinux通过定义进程和资源的域与上下文实现细粒度的访问控制。文章通过实例展示了如何查看和修改文件的SElinux上下文,以及如何解决由上下文错误导致的问题。此外,还探讨了SElinux的布尔值管理,用于精确控制服务的某些选项。文章适合对Linux安全感兴趣的读者学习。
最低0.47元/天 解锁文章
9078
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
