SELinux
Security Enhanced Linux:安全强化。在进行进程,文件等详细权限配置时依据的一个内核模块。
传统文件权限与帐号的关系:DAC,自主访问控制,控制主体为用户。
SELinux: 以策略规则制定特定进程对资源的访问,强制访问控制(MAC),控制主体为进程 。内置了很多rule,用户可以自己选择是否启用。目前主要策略:
- targeted: 针对网络服务的限制较多,对本机较少。默认策略。
- Minimum: 由target定义而来,仅针对选择的进程来保护
- mls:完整的SELinux限制,较为严格。
ps -eZ 可以列出对进程的限制
SELinux 3 种模式
-
Enforcing 强制模式,限制domain或type
-
Permissive 宽容模式,只警告并不限制
-
Disabled 关闭模式
-
getenforce 查看当前SELinux模式
-
sestatus [-vb] 查看SELinux策略
-
setenforce [0|1],设置SELinux为permissive或enforcing模式, disabled模式需要改/etc/selinux/config,并且重启动selinux.