Linux系统管理-(17)-SELinux

SELinux:
       SELinux: Secure Enhanced Linux

       一般Linux系统:
       DAC:自主访问控制

       SELinux:
       MAC:强制访问控制

       工作模式:
             1.strict:每个进程都受到selinux的控制;
             2.targeted:有限个进程收到SELinux控制
                     只监控容易被入侵的进程


                subject operation object

                进程         操作      进程,文件



                SELinux为每个文件提供安全标签,也为进程提供了安全标签

                       标签:   user:role:type
                                user:SELinux的user
                                role:角色
                                type:类型

                SELinux规则库:
                  规则: 规定域能访问哪种或那些类型内的文件

                 配置SELinux:
                      SELinux启用
                      给文件重新打标
                      设定某些布尔特性

                      SELinux的状态:
                             enforcing :强制,每个受限的进程都必然受限
                             permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录到审计日志。
                             disabled:关闭

                        相关命令:
                                getenforce:获取selinux当前状态;
                                setenforce 0|1
                                    0:设置为permissive
                                    1:设置为enforcing

                                此设定:重启系统后无效

                                配置文件:/etc/sysconfig/selinux,/etc/selinux/config
                                        SELINUX={disabled|enforcing|permissive}

                                给文件重新打标:
                                            chcon [OPTION]... CONTEXT FILE...
                                            chcon [OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE...
                                            chcon [OPTION]... --reference=RFILE FILE...

                                           -R递归打标
                                还原文件默认标签: restorecon -R  /PATH/TO/FILE


                                布尔型规则:
                                    setsebool [-P] [on|off]  (P:写入配置文件)
                                    getsebool


你可能感兴趣的:(selinux)