SELINUX 管理1

SELinux有四种工作类型：

• .strict: centos5, 每个进程都受到selinux 的控制
• . targeted: 用来保护常见的网络服务, 仅有限进程受到selinux 控制，只监控容易被入侵的进程，centos4 只保护13个服务，centos5 保护
• . minimum ：centos7, 修改的targeted ，只对选择的网络服务
• .mls: 提供MLS （多级安全）机制的安全性
• 该文件定义了的开启关闭及类型（下面6）
  [root@chenxi ~]# cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.强制生效
#     permissive - SELinux prints warnings instead of enforcing  允许但谴责
.#     disabled - No SELinux policy is loaded.不过
SELINUX=disabled   
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted    工作类型的定义

• 传统Linux一切皆文件，由用户，组，权限控制访问
• 在SELinux 中，一切 皆 对象（ （object ）， 由 存放在 在inode的扩展属性域的安全元素所控制 其访问
• 所有文件和端口资源和进程都 具备安全标签： 安全上下文（security context）
• 安全上下文有五个元素组成
• user:role:type:sensitivity:category
• user_u:object_r:tmp_t:s0:c0
• 实际上下文：存放在文件系统中，ls –Z;ps –Z
• 期望( 默认) 上下文 ：存放在二进制的SELinux 策略库（映射目录和期望安全上下文）中
  semanage fcontext –l
• 查看

类型

此标签表示多个程序对文件可读写

查看状态是否开启
[root@centos6 linux-3.16.45]# getenforce
Enforcing表示开启
临时禁用

• 显示更详细的信息

• 策略存放目录

• 创建一个临时文件

  
  
  
• 更改标签

• 查看某文件的默认标签

恢复默认标签策略

• 给自己新建的目录加标签至标签库；更改的是标签库

递归恢复