SELinux:
SELinux: Secure Enhanced Linux
一般Linux系统:
DAC:自主访问控制
SELinux:
MAC:强制访问控制
工作模式:
1.strict:每个进程都受到selinux的控制;
2.targeted:有限个进程收到SELinux控制
只监控容易被入侵的进程
subject operation object
进程 操作 进程,文件
SELinux为每个文件提供安全标签,也为进程提供了安全标签
标签: user:role:type
user:SELinux的user
role:角色
type:类型
SELinux规则库:
规则: 规定域能访问哪种或那些类型内的文件
配置SELinux:
SELinux启用
给文件重新打标
设定某些布尔特性
SELinux的状态:
enforcing :强制,每个受限的进程都必然受限
permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录到审计日志。
disabled:关闭
相关命令:
getenforce:获取selinux当前状态;
setenforce 0|1
0:设置为permissive
1:设置为enforcing
此设定:重启系统后无效
配置文件:/etc/sysconfig/selinux,/etc/selinux/config
SELINUX={disabled|enforcing|permissive}
给文件重新打标:
chcon [OPTION]... CONTEXT FILE...
chcon [OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE...
chcon [OPTION]... --reference=RFILE FILE...
-R递归打标
还原文件默认标签: restorecon -R /PATH/TO/FILE
布尔型规则:
setsebool [-P] [on|off] (P:写入配置文件)
getsebool