SElinux的强制访问控制

Selinux安全体系结构成为flask ,安全策略的逻辑和通用接口一起封装在与操作系统独立的组件,这个安全组件成安全服务器。操作系统的访问控制分为自主访问控制DAC,强制访问控制,和基于角色的访问控制,Selinux是强制访问控制的实现。

Selinux 的特点:

对访问控制的彻底化,对所有文件,目录,端口,的访问都是基于策略设定的,用户被划分成不同的角色,即使是root用户,如果不是某个角色,也不具有文件执行的权限。

当启动SELinux的时候,所有文件和对象都具有安全上下文,安全文的上下文由身份识别,角色,类型三部分组成,

查看文件目录的安全性上下文,

#ls -ldZ /usr/sbin/httpd修改文件目录上下文使用chcon命令

#chcon -R -t samba_share_t/tmp/abc

编辑SELinux的配置文件

#ls -l /etc/selinux 查看SELinux的文件目录

#vim /etc/selinux/config

查看SELinux状态的命令

#sestatus

selinux应用

selinux的设置分为两个部分,修改安全上下文以及策略,

SELinux与FTP

#chcon -R -t public_content_t/var/ftp //允许匿名用户访问FTP服务器

#chcon -R -t public _content_rw_t/var/ftp/incoming   //允许匿名用户上传文件

#setsebool -P allow_ftpd_full_access on  允许所有用户上传或下载文件

SELinux与http

apache的主目录如果修改位置,SELinux就会限制客户访问,

你可能感兴趣的:(Linux操作系统)