SELinux
selinux : security enhanced linux
安全的
linux
两种模式
DAC (
自主的访问控制策略
)
MAC (
强制的访问控制策略
)
设置文件访问策略
:/etc/selinux/targeted/policy
selinux
有两种级别:
strict
严格的定制级别
targetde
默认的
保护相关的网络服务级别
unconfined_t
未定义的类型
不受
selinux
限制
selinux
配置文件
/etc/sysconfig/selinux
或
etc/selinux/config
# enforcing
开启
selinux
保护
# permissive
未开启但允许
不保护
给
root
提示警告
# disabled
不启用
selinux
日志管理:
/var/log/audit/audit.log
selinux
安全上下文:标签
subject options object
动作的发起者(进程)
执行的动作
接受者(对象)
subject
:域
活动范围
object
:类型
执行的动作由
Boolean
值规定是否启用
user
用户的
root
:
root
显示方式
普通用户:
user_u
进程的:
system_u
在系统中正在活动的
role
角色
文件
object_r
进程
system_r
type
类型
文件
ls -Z
查看
用户
id -Z
进程
ps auxZ
ls -Z
显示
user_u:object_r:user_home_dir_t
selinux
管理操作:
修改
selinux
的状态:
getenforce
查看
selinux
状态
是否开启
临时生效:
setenforce 1
设置
selinux
开启
0
:不启用
永久性的:
编辑文件配置文件
vim /etc/selinux/config
永久性的关闭
selinux
SELINUX=permissive
修改即可
传递给内核也可
vim /etc/grub.conf
kernel
一行后面添加
selinux=0
关闭
selinux 1
启用
或者
enforcing=0
或
1
布尔值的查看修改:
getsebool -a
查看所有
Boolean
值
getsebool -a | grep ypbind
查看具体的
setsebool allow_ypbind 1
设置
Boolean
值开启为
on
临时生效
setsebool -p allow_ypbind 1 -p
选项持久生效
setsebool allow_ypbind 0
关闭
显示文件的标签
ls -Z
chcon -t etc_t fstab
(
-t
改变的
fstab
的标签)
chcon --reference=student fstab
把
student
文件的标签附加到
fstab
文件上
chcon -R
递归修改
restorecon fstab
还原
fstab
文件的标签
前提是该文件有默认标签
restorecon -r
或
R
递归恢复文件默认标签