SElinux (Security Enhanced Linux 安全��化的linux)
�P�I字:DAC、 MAC、 Subject、 Object、 Policy、 Security Context、 Identify(root、system_u、user_u)、 Role(object_r、system_r)、 Type(type、domain)
一般用途:
在DAC的基�A上增���ξ募�的�嘞薜脑L��,主要是����W�j�L��文件。
SElinux是整合到kernel的一��module,一般使用的RHEL系�y的distribution都包括了SElinux直接�⒂眉纯伞�
具�wselinux操作��下:
具�w的selinux支持的三�N模式:
enforcing:��制模式
permissive:��容模式
disabled:�P�]selinux
如果要�⒂�selinux��毡夭荒芘渲贸�disabled。
首先�z查selinux��B,用指令getenforce或者查看配置文件/etc/selinux/config相�P的具�w配置就�尚校�SELINUX=enforcing/permissive/disabled,SELINUXTYPE=targeted/strict。
如果要�⒂�selinux�在linux��拥�r候kernel��拥�r候一定不能在kernel /vmlinuz-2.6.xx-xx.xxx ro root=/dev/xxx 後面有selinux=0出�F。不然同�硬荒苁褂�selinux。
查看selinux的Policy�用指令sestatus具�w���vb。切�Qselinux在enforcing和permissive模式之�g敬�用setenforce指令,只有����底��担�0、1,分�e代表permissive和enforcing。更改selinux的Policy也同�涌梢跃��配置文件/etc/selinux/config文件,具�w配置��文件注�。
怎�又匦略O置selinux的安全性文本呢?�用指令chcon具�w���Rtur --reference,具�w用法�man或者info或者chcon --help。何��selinux的安全性文本呢?利用ls -Z指令即可查看各文件的selinux安全性文本。
使各文件的selinux安全性文本�原成�A�O的值,�用指令restorecon,���Rv。由於文件的�}�u,或其他的方式�е挛募�的selinux安全性文本�e�`,�е虏豢墒褂谩S�restorecon即可更改�轭A�O值。
selinux在�l生�e�`的�r候使用的���服�眨杭�setroubleshoot、auditd。setroubleshoot服�盏娜照I��入/var/log/message文件,二auditd服���入/var/log/audit/audit.log日�I文件。具�w的���服�罩挥玫降南嚓P指令是sealert和audit2why具�w的使用方法�google或者man、info
targeted的Policy使用的��t查看,�用指令seinfo���Atrub,查�到相�P的��e或者是booleans�r,想知道更��的��t,�使用sesearch指令,���atb。查�所有booleans值的指令getsebool。booleans值的修改�用setsebool指令。具�w��嫡�用“指令 --help”或者使用man、info等。
�A�O目�的安全性文本的查�和修改,�使用指令semanage具�w的使用��t�man。
本次使用到的主要指令有:getenforce、sestatus、chcon、restroecon、sealert、audit2why、seinfo、sesearch、getsebool、setsebool、semanage