第七章 Selinux

7.1 DAC与MAC

DAC:Linux自己的安全机制叫做DAC(Discretionary Access Control,自主访问控制)

MAC:SELinux实现的功能叫做MAC(Mandatory Access Control,强制访问控制机制)

7.2 selinux的工作级别与机制

SELinux:Secure Enhanced Linux,工作于Linux内核中。

SELinux有两种工作级别:

strict:严格级别,每个进程都受到selinux的控制

targeted:仅有限个进程受到selinux的控制

只监控容易被入侵的进程

SELinux工作机制:

SELinux采用类似沙箱(sandbox)的方式来运行进程:

subject operation object

subject:进程

object:可以是进程,可以是文件

适用于文件的操作:open,read,write,close,chown,chmod

SELinux为每个文件提供了安全标签,也为进程提供了安全标签:

user:role:type

user:SELinux的user

role:角色

type:类型

SELinux规则库:

规则:定义了哪种域能访问哪种或哪些种类型内的文件

遵循“法无授权即禁止”的规则,也就是说没有明确授权的所有操作均禁止

7.3 selinux的配置

SELinux是否启用:在/etc/selinux/config文件中定义

SELinux的状态:

enforcing:强制,每个受限的进程都必然受限

permissive:启用,每个受限的进程违规操作时不会被禁止,但会被记录于审计日志

disabled:禁用

相关命令:

getenforce:获取selinux当前状态

setenforce 0|1

0:设置为permissive

1:设置为enforcing

此设定仅当前有效,重启系统后无效

配置文件:/etc/sysconfig/selinux,/etc/selinux/config

SELINUX={disabled|enforcing|permissive}

给文件重新打标签:

chcon:change context,改变上下文

chcon [option]... CONTEXT FILE...

chcon [option]... [-u USER] [-r ROLE] [-t TYPE] FILE...

chcon [option]...  --reference=RFILE FILE...

-R:递归打标签

还原文件的默认标签:

restorecon [-R] /path/to/somewhere(可以是文件,也可以是目录)

设定某些布尔型特性:

getsebool

语法:getsebool [-a] [boolean]

例:

getsebool -a
getsebool ftp_home_dir

setsebool

语法:setsebool [ -PV] boolean value | bool1=val1 bool2=val2 ...
-P:把设置添加进规则库,使之永久生效,若不使用此选项则只当前有效,重启系统会失效
时间: 2024-10-13 22:05:10

第七章 Selinux的相关文章

第七章

第七章 控制发光二极管. 尽管linux 驱动直接和硬件打交道,但并不是linux驱动直接向硬件中的内存写数据,而是与本机的i/o内存进行交互.所谓I/O内存是通过各种接口(PCI, USB.蓝牙以太网等)连接到主机的硬件在主机的内存映射.Linux内核提供了多个与I/O内存交互的函数.Linux内核的内存管理模块负责同步I/O内存与硬件的数据. 每一个连接Linux 的硬件在I/O内存中都会有映射首地址.在使用ioread 32.ioread32等函数读写I/O内存时需要指定这些首地址.Led

第七章:常用类

第七章:常用类 包装类 java中有8中基本类型,对应有八种包装类作用:包装类中封装了该类型常用的属性和方法,以方便操作.byte---->Byteshort--->Shortint--->Integerlong---->Longfloat---->Floatdouble---->Doublechar---->Characterboolean---->Boolean装箱:将基本数据类型转换成包装类,经常通过构造方法完成.Integer i = new Int

构建之法学习(第七章 MSF)

第七章 MSF MSF(Microsoft Solution Framework)微软解决方案框架: MSF是一套大型系统开发指南,是微软推荐的软件开发方法,它描述了如何用组队模型.过程模型和应用模型来开发Client/Server结构的应用程序,是在微软的工具和技术的基础上建立并开发分布式企业系统应用的参考. 一.MSF 9条基本原则 1.推动信息共享与沟通 --把所有信息都保留并公开,讨论要包括所有涉及的角色,决定要公开并告知所有人. 当然,对牵涉到技术机密.安全性等信息要采取必要的保护措施

Android开发艺术探索——第七章:Android动画深入分析

Android开发艺术探索--第七章:Android动画深入分析 Android的动画可以分成三种,view动画,帧动画,还有属性动画,其实帧动画也是属于view动画的一种,,只不过他和传统的平移之类的动画不太一样的是表现形式上有点不一样,view动画是通过对场景的不断图像交换而产生的动画效果,而帧动画就是播放一大段图片,很显然,图片多了会OOM,属性动画通过动态的改变对象的属性达到动画效果,也是api11的新特性,在低版本无法使用属性动画,但是我们依旧有一些兼容库,OK,我们还是继续来看下详细

第九章 前七章总结考试答案

前七章总结测验见附件内容

ROS机器人程序设计(原书第2版)补充资料 (柒) 第七章 3D建模与仿真 urdf Gazebo V-Rep Webots Morse

ROS机器人程序设计(原书第2版)补充资料 (柒) 第七章 3D建模与仿真 urdf Gazebo V-Rep Webots Morse 书中,大部分出现hydro的地方,直接替换为indigo或jade或kinetic,即可在对应版本中使用. 提供ROS接口的3D软件比较多,本章以最典型的Gazebo介绍为主,从Player/Stage/Gazebo发展而来,现在独立的机器人仿真开发环境,目前2016年最新版本Gazebo7.1配合ROS(kinetic)使用. 补充内容:http://blo

构建之法第六、七章读后感

第六章 Scrum 是一个用于开发和维持复杂产品的框架 ,是一个增量的.迭代的开发过程.Scrum包括了一系列实践和预定义角色的过程骨架.Scrum中的主要角色包括同项目经理类似的Scrum主管角色负责维护过程和任务,产品负责人代表利益所有者,开发团队包括了所有开发人员. 敏捷流程一共有4步: 第一步:弄懂需求与任务是相互依赖的关系 第二步:想要学会把一个任务从产品层级的描述逐步细化到技术实现层面,那么技术能力和交流能力尤为重要的,根据每个人的能力来分配任务以保证任务的高效完成. 第三步:个人要

CSS3秘笈:第七章

第七章  margin.padding和border 1.盒模型:四个属性: (1)padding:内容与其边框线之间的空间. (2)border:盒子周围的直线 (3)background-color:用来填充边框内部空间的,包括padding区域. (4)margin:一个标签和另一个标签之间的间隔. 2.padding和margin的区别:padding是在内容和边框之间增加空间.避免内容被硬塞在方框里面,它还包括背景区域,因此padding占用的空间也可以为空白的内容.而margin则是

再读大道之简第七章第八章

有一句话叫做,理想很丰满,现实很骨感.原来,单纯的以为,软件工程不就是码农么,就连工作也是一心趴在课编程编程,各种编程上,可是,现实中的软件工程和理想中或者说,想象中的还是有很大的差距的.就连我们心中的大企业,也并不是想象中的那样.比如IBM知道把握力量总之比创造力量来得经济.我还单纯的以为,所有的公司只是为了盈利呢,依靠完成的软件去盈利.此时不禁自嘲一番,还是太嫩了啊.所有的大公司在标准.理论.语言上的争来夺取,未必全然出于“软件实现”的考虑.对统一理论.统一工具.统一过程的企图,其最终目的是