selinux实例:使用安全增强的linux,13.1.1.SELinux配置文件(/etc/selinux/config)

13.1.1.SELinux配置文件(/etc/selinux/config)

SELinux配置文件/etc/selinux/config控制系统下一次启动过程中载入哪个策略,以及系统运行在哪个模式下,我们可以使用sestatus命令确定当前SELinux的状态,清单13-1显示了一个config文件的例子:

清单13-1./etc/selinux/config文件的内容

1  # This file controls the state of SELinux on the system.

2  # SELINUX= can take one of these three values:

3  #       enforcing - SELinux security policy is enforced.

4  #       permissive - SELinux prints warnings instead of

enforcing.

5  #       disabled - SELinux is fully disabled.

6  SELINUX=enforcing

7  # SELINUXTYPE= type of policy in use. Possible values are:

8  #        targeted - Only targeted network daemons are

protected.

9  #        strict - Full SELinux protection.

10 SELINUXTYPE=strict

这个文件控制两个配置设置:SELinux模式和活动策略。SELinux模式(由第6行的SELINUX选项确定)可以被设置为enforcing,permissive或disabled。在enforcing模式下,策略被完整执行,这是SELinux的主要模式,应该在所有要求增强Linux安全性的操作系统上使用。在permissive模式下,策略规则不被强制执行,相反,只是审核遭受拒绝的消息,除此之外,SELinux不会影响系统的安全性,这个模式在调试和测试一个策略时非常有用。

在disabled模式下,SELinux内核机制是完全关闭了的,只有系统启动时策略载入前系统才会处于disabled模式,这个模式和permissive模式有所不同,permissive模式有SELinux内核特征操作,但不会拒绝任何访问,只是进行审核,在disabled模式下,SELinux将不会有任何动作,只有在极端环境下才使用这个模式,例如,当策略错误阻止你登陆系统时,即使在permissive模式下也有可能发生这种事情,或我们不想使用SELinux时。

警告:在enforcing和permissive模式或disabled模式之间切换时要小心,当你返回enforcing模式时,通常会导致文件标记不一致,本章后面我们将会讨论如何修复文件标记问题。

SELinux配置文件中的模式设置由init使用,在它载入初始策略前配置SELinux使用。

SELinux配置文件中的SELINUXTYPE选项告诉init在系统启动过程中载入哪个策略,这里设置的字符串必须匹配你用来存储二进制策略版本的目录名,例如,我们使用strict策略作为例子,因此我们设置SELINUXTYPE=strict,确保我们想要内核使用的策略位于/etc/selinux/strict/policy/,如果我们已经创建了我们自己的自定义策略,如custom_policy,我们应该将这个选项设置为SELINUXTYPE=custom_policy,确保我们编译的策略位于/etc/selinux/custom_policy/policy/。

FC和RHEL系统提供了一个图形工具(system-config-securitylevel),我们可以使用它来设置SELinux配置文件选项,这样就不需要直接编辑文件了,前面两个选择框设置SELINUX选项,策略类型下拉列表允许我们从安装好的策略中选择一个活动策略。

selinux实例:使用安全增强的linux,13.1.1.SELinux配置文件(/etc/selinux/config)_第1张图片

(点击查看大图)图13-1.Red Hat安全级别配置工具

【责任编辑:云霞 TEL:(010)68476606】

点赞 0

你可能感兴趣的:(selinux实例:使用安全增强的linux,13.1.1.SELinux配置文件(/etc/selinux/config))