Selinux

Selinux

文章目录
​ ​Selinux​​
​ ​1.DAC与MAC​​
​ ​2.selinux的工作级别与机制​​
​ ​3 selinux的配置​​

1.DAC与MAC
DAC:Linux自己的安全机制叫做DAC(Discretionary Access Control,自主访问控制)

MAC:SELinux实现的功能叫做MAC(Mandatory Access Control,强制访问控制机制)

2.selinux的工作级别与机制
SELinux:Secure Enhanced Linux,工作于Linux内核中。

SELinux有两种工作级别:

strict:严格级别,每个进程都受到selinux的控制

targeted:仅有限个进程受到selinux的控制

只监控容易被入侵的进程
1.
2.
3.
4.
5.
SELinux工作机制:

SELinux采用类似沙箱(sandbox)的方式来运行进程:

subject operation object

subject:进程

object:可以是进程,可以是文件

适用于文件的操作:open,read,write,close,chown,chmod

SELinux为每个文件提供了安全标签,也为进程提供了安全标签:

user:role:type

user:SELinux的user

role:角色

type:类型

SELinux规则库:

规则:定义了哪种域能访问哪种或哪些种类型内的文件

遵循“法无授权即禁止”的规则,也就是说没有明确授权的所有操作均禁止
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
3 selinux的配置
SELinux是否启用:在/etc/selinux/config文件中定义

SELinux的状态:

enforcing:强制,每个受限的进程都必然受限

permissive:启用,每个受限的进程违规操作时不会被禁止,但会被记录于审计日志

disabled:禁用

相关命令:

getenforce:获取selinux当前状态

setenforce 0|1

0:设置为permissive

1:设置为enforcing

此设定仅当前有效,重启系统后无效

配置文件:/etc/sysconfig/selinux,/etc/selinux/config

SELINUX={disabled|enforcing|permissive}

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
给文件重新打标签:

chcon:change context,改变上下文

chcon [option]... CONTEXT FILE...

chcon [option]... [-u USER] [-r ROLE] [-t TYPE] FILE...

chcon [option]... --reference=RFILE FILE...

-R:递归打标签
1.
2.
3.
4.
5.
6.
7.
8.
9.
还原文件的默认标签:

restorecon [-R] /path/to/somewhere(可以是文件,也可以是目录)
1.
设定某些布尔型特性:

getsebool
1.
语法:getsebool [-a] [boolean]
例:

getsebool -a
getsebool ftp_home_dir
setsebool

语法:setsebool [ -PV] boolean value | bool1=val1 bool2=val2 …
-P:把设置添加进规则库,使之永久生效,若不使用此选项则只当前有效,重启系统会失效
参考链接:

2 Ways to Check SElinux Status in Linux

你可能感兴趣的:(linux)