SElinux的介绍及配置

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统

SELinux安全增强型Linux系统,是Linux内核子系统,旨在最大限度的减少服务进程对文件、端口等资源的访问

一、SELinux/Firewall防护

SELinux ===》提供系统防护 //内核的功能模式

Firewalld ===》提供网络防护 //通过系统服务 firewalld

1、Security Enhanced Linux,安全增强型Linux系统

++ 比如 Web 服务,对外提供网页(默认应该 /var/www/ .. ..)

++ 比如 Web 服务,通过标准端口(80、8080等少数端口)对外提供服务

2、SElinux三种运行状态

++ Enforcing,强制(严格按策略执行保护)

++ Permissive,宽松(若有违规会记录,但不做真正限制)

++ Disabled,禁用(内核不加载SELinux)

3、如何切换不同的SELinux运行状态:

[root@A ~]# getenforce //查看selinux 状态,发现是强制开启模式

Enforcing :强制开启

[root@A ~]# setenforce 0 //修改selinux 状态,修改为宽松模式(临时生效)

[root@A ~]# getenforce //查看状态,发现已改为宽松模式

Permissive :宽松

[root@A ~]# setenforce 1 //再次修改selinux 状态, 修改为强制开启模式(临时生效)

[root@A ~]# getenforce //再次查看状态,发现已强制开启

Enforcing

++ 立即在 Enforcing 和 Permissive 之间切换(前提:当前状态不能是Disabled)

  // 1 对应Enforcing,0 对应 Permissive

备注:使用setenforce 修改状态,只是临时生效,系统重启后的状态是/etc/selinux/config 的状态

         如果,/etc/selinux/config 的状态是  enforcing  重启后就是enforcing

          如果,/etc/selinux/config 的状态是  disabled   重启后就是disabled  

          如果,重启后状态是  disabled  后,就代表selinux 被禁用,就无法在使用setenforce 修改状态了

++ 设置开机后的默认SELinux状态

[root@A ~]# vim /etc/selinux/config

SELINUX=三种状态中的某一种

你可能感兴趣的:(网络运维与安全,Linux资料,linux,网络,服务器)