码迷,mamicode.com
首页 > 系统相关 > 详细

15.SElinux安全系统基础

时间:2015-04-19 19:48:24      阅读:204      评论:0      收藏:0      [点我收藏+]

标签:计算机基础   linux   domain   管理员   上下文   

15.SElinux安全系统基础

·SELinux(Secure Enhanced Linux)安全增强linuxNSA针对计算机基础机构安全开发的一个全新的linux安全策略机制,SELinux允许管理员更加灵活的定义安全策略,

·SELinux是一个内核级的安全机制,在2.6内核之后集成在内核中,

·主流的Linux发行版都会集成SELinux机制,CentOS/RHEL默认会开启DELinux

·因为SELinux是内核级机制,所以对SELinux的修改一般需要重启,

·SELinux基本概念:

·所有的安全机制都是对两样东西做出限制:进程和系统资源,

·SELinux针对这两种类型定义了两个基本概念:域(domain)和上下文( and context)

·域用来对进程进行限制,

·上下文用来对系统资源进行限制,

·ps -Z可查看进程的域,

·ls -Z可查看文件的上下文,

·SELinux目标策略:

·SELinux通过定义策略来控制哪些域(进程)可以访问哪些上下文(文件)

·SELinux有很多预警策略,通常不需要自定义策略(排除需要对自定义服务、进程进行保护)

·CentOS/RHEL使用预置的目标(target)策略,

·目标策略定义只有目标进程受到SELinux限制,其他进程运行在非限制模式下,目标策略只影响网络应用,

·CentOS中受限制的网络服务程序有200个左右,如dhcpdhpptdmysqldnamedntpdrpcbindsquidsyslogd

·SELinx模式、级别:

·模式有三种:

·强制enforcing,违反策略的行为都被禁止,并作为内核信息记录,

·允许permissive,违反策略的行为都不禁止,但是会产生警告信息,

·禁用disabled,禁用SELinux,与不带SELinux功能的系统一样,

·SELinux模式的配置文件为/etc/sysconfig/selinuxSELINUX=permissive

·getenforce查看当前SELinux工作状态,

·setenforce 0|1设置SELinux工作状态,0为允许,1为强制,

·策略、域、上下文:

·用ps -Zls -Z显示的信息类似如下:

system_uobject_rhttpd_exec_t:so,对应:用户:角色:类型:MLS/MCS

·在对系统进行管理时,对文件的操作有时会改变文件的上下文,导致一些进程无法访问某些文件,所以我们一般需要检查、修改文件的上下文,

·restorecon -R -v /var/www,命令restorecon可以用以恢复文件默认的上下文,-R对目录使用,

·chcon --reference=/etc/named.conf.orig /etc/named.conf,命令chcon可以改变文件的上下文,参照前者修改后者,

·

·比如在家目录新建了一个html文件,剪切到apache目录,不可以访问了,就需要-R恢复下,

·


15.SElinux安全系统基础

标签:计算机基础   linux   domain   管理员   上下文   

原文地址:http://hclgogo.blog.51cto.com/1494961/1635634

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!