【Linux SELinux】提升系统安全(一)

本文重点:了解SELinux并能够熟练地启动关闭selinux(就像精通windows系统开关机一样)

背景:在centos5.x之后,selinux 非常完备地成为了系统内核模块,centos5.x之后提供了很多命令行管理selinux

简介:selinux 全称是 Security Enhanced Linux 即安全提升版linux,协助管理进程与文件间的访问权限

    用户对文件的操作权限大家都了解 通过chown\chmod\chgrp这些命令来进行管理,这种被称作‘自主访问控制DAC’,但是进程和文件之间的访问权限呢,如果一个你启动了一个你不熟悉的进程或者shell,而这个进程或shell包含对其他文件(包括系统文件)的破坏性操作,就可就大事不妙了。

selinux通过管理进程与文件之间的对应关系将这类意料之外的事件避免了,使一个进程能访问的文件在一个小圈圈范围内。通过制定策略让特定程序访问特定文件,说白了就是建立程序和文件之间的可访关系表,策略分为targeted(主管网络)和strict(全面管理),通常用targeted策略足以。除了策略和规则这俩术语,还有主体(程序)、目标(文件)、安全上下文。访问流程:主体(程序)-->SELinux(查找规则)-->安全上下文(AVC)-->rwx配置-->目标(文件)


查看当前selinux模式:getenforce

查看selinux所使用的策略信息:sestatus

配置文件:/etc/selinux/config

selinux 状态切换:从disabled到另外俩状态enforcing permissive,切换后重启机器生效。enforcing和permissive互换不需要重启。

setenforce 0转成permissive模式

setenforce 1转成enforce模式

你可能感兴趣的:(SELinux)