Redhat中Selinux的用法



RedHat Enterprise Linux AS 4.0中安全方面的最大变化在于集成SELinux的支持。

SELinux的全称是Security Enhanced Linux,是由美国国家安全局NSA开发的访问控制体制。

SELinux可以最大限度地保证Linux系统的安全。至于它的作用到底有多大,举一个简单的例子可以证明:没有SELinu

x保护的Linux的安全级别和Windows一样,是C2级,但经过保护SELinux保护的Linux,安全级别则可以达到B1级。

下面在举一个例子来说明。如果我们把/tmp目录下的所有文件和目录权限设置为0777,这样在没有SELinux保护的情

况下,任何人都可以访问/tmp 下的内容。而在SELinux环境下,尽管目录权限允许你访问/tmp下的内容,但SELinux

的安全策略会继续检查你是否可以访问。

   1. 启用SELinux
      我们在安装RedHat Enterprise Linux AS 4.0的过程中,可以选择“激活”、“警告”或者“关闭”SELinux

。默认设置为“激活”。
   2. 配置SELinux策略
      RedHat Enterprise Linux AS 4.0安装之后,我们可以执行“应用程序”-->“系统设置”-->“安全级别”,

或者直接在控制台窗口输入“system-config- securitylevel”来打开“安全级别”设置窗口。在“SELinux”选项

页中,我们不但可以设置“启用”或者“禁用”SELinux,而且还可以对已经内置的SELinux策略进行修改.
   3. 主要的Selinux操作
      ls -Z
      ps -Z
      id -Z
      这三个命令的-Z参数专为SELinux而增加的,可以看到文件,进程和用户的SELinux属性情况.
      重要命令:
      chcon
========================================================================
如何开启或关闭SELinux
From OSWikiHK

[编辑]
RedHat的 /etc/sysconfig/selinux

在新版本中的Red Hat 和 Fedora 上,修改档案/etc/sysconfig/selinux:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:
#       targeted - Only targeted network daemons are protected.
#       strict - Full SELinux protection.
SELINUXTYPE=targeted

把 SELINUX设定为disable, 下次启动系统后将会停止SElinux。
[编辑]
Linux核心参数(Kernel Parameter)

或者可以在核心参数后加上: selinux=0 (停止) 或 selinux=1 (开启)参数

档案/boot/grub/menu.lst

title Fedora Core (2.6.18-1.2798.fc6)
        root (hd0,0)
        kernel /vmlinuz-2.6.18-1.2798.fc6 ro root=LABEL=/ rhgb quiet  selinux=0
        initrd /initrd-2.6.18-1.2798.fc6.img

[编辑]
检查SELinux现时况态

要知到你现在是否使用 SELinux:

# getenforce
Enforcing

你可能感兴趣的:(Linux)