selinux学习笔记

本文详细介绍了SElinux的工作原理和在Red Hat Enterprise 5中的应用,包括其三种状态模式:强制模式、警告模式和关闭模式。SElinux通过定义进程和资源的域与上下文实现细粒度的访问控制。文章通过实例展示了如何查看和修改文件的SElinux上下文,以及如何解决由上下文错误导致的问题。此外,还探讨了SElinux的布尔值管理,用于精确控制服务的某些选项。文章适合对Linux安全感兴趣的读者学习。
摘要由CSDN通过智能技术生成
SElinux(Security Extend linux)

Red hat Enterprise 5支持内核实施的一项新的安全策略:SElinux。SElinux是由美国国防部让安全局针对计算机基础结构开发的,SElinux允许管理员定义高度灵活的策略,让linux内核把它作为日常操作的一部。

SElinux将每个程序都编入到SElinux域内,同时将每个资源放在SElinux安全上下文中,然后根据SElinux策略定义哪个进程可以访问哪些资源。

Redhat 5支持的SElinux策略叫做目标策略,只影响指定的网络守护进程。在目标策略中,只有目标进程受到SElinux的限制,其它进程则不 受限制,目标策略只影响常用的网络应用程序,在RHEL5中,受限制的网络服务程序数量在200个以上,SElinux限制的典型应用程序如下:

dhcpd、vsftpd、httpd、mysqld、nscd、named、portmap、squid、syslogd等

SElinux的三种状态模式:

1、 Enforcing:强制模式,此模式情况下,任何违反SElinux策略的行为都被禁止,并被作为内核信息记录下来,图形界面下会跳出来一个黄色 五角星提醒你,并提供解决办法,命令行下运行tail  /var/log/messages |grep  run命令,将过滤出来的内容复制run后 面的内容运行。

2、 Permissive:警告模式,此模式情况下,任何违反SElinux策略的行为都不会被阻挡,只是会提醒警告用户,这个模式可以排错用。

3、 Disabled:关闭模式,此模式是不启用SElinux,和没有它是一样的。

SElinux配置文件:/etc/sysconfig/selinux,如图:\

 

可以通过修改它改变SElinux状态;SELINUXTYPE参数用于指定SElinux使用什么策略模块保护系统,在RHEL5中默认使用的为 targeted模块,这个模块是由redhat开发的策略模块,只对Apache、sendmail、bind等网络服务进行保护,不属于这些服务的就 都属于unconfined_t,该模块可导入性高,可用性好,但不能对整体进行保护。

也可以在图形化界面下打开终端输入system-config-securitylevel,通过图形界面改变它的工作状态,如图:

\

需要注意的是:SElinux状态在强制模式和警告模式之间切换是不用重启计算机的,如果改成禁止模式后则必须要重启计算机才能生效。

那么怎么判断它当前的状态呢?通过命令即可查看:

getenforce:判断SElinux现在处于什么状态

setenforce:转换成强制或警告模式(setenforce  1转换成强制模式,setenforce  0转换成警告模式),如图:

\

每个进程都属于一个SElinux域(domain),而每一个文件都被赋予一个SElinux上下文的context值,那么如何查看它们的contex值呢?

使用命令ls  -Z 或ps  -Z查看上下文contex值,如图:

\

\

上面红色方框中的文件SElinux上下文或SElinux域格式字符串以冒号作为字段分隔,第一个字段为用户标识第二个字段为角色 (role),root和user_u表示文件是根用

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值