SElinux,内核级加强型防火墙, SELinux[Security Enhanced Linux (安全强化 Linux)],是工作在内核中的MAC (Mandatory
Access
Control,强制访问控制系统)的一个实现,目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。强制访问控制系统的用途在于增强系统
抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。所以它不是网络防火墙或 ACL 的替代品,在用途上也不重复。
对于selinux的通俗理解:
selinux,它给一些特定程序(这些程序也在不断增加)做了一个沙箱,它将文件打上了一个安全标签,这些标签属于不同的类,也只能执行特定的操作,也就是规定了某个应用程序设定了你可以访问那些文件或目录。
SElinux对系统的影响:
对每个文件加标签,不同类的标签无法相互访问
会影响的某些服务的功能
一般情况下disabled,设置完后需要重启内核生效
SElinux管理级别
selinux开启或者关闭
vim /etc/sysconfig/selinux
selinux=disabled 关闭状态
selinux=Enforcing 强制状态
selinux=Permissive 警告状态
getenforce 查看状态
当selinux开启时 两个运行运行级别
setenforce 0 警告状态
setenforce 1 强制状态
查看SElinux中的ftp服务开启情况,通过setsebool -P ftp_home_dir on 开启相关服务
