SELinux 。强制访问控制(MAC)-vs-随意访问控制(DAC) 。规则集也叫做策略,它决定了如何严格控制 。进程要么受限制要么未定义 。策略定义哪一个资源限制哪一个进程可以访问 。缺省,任何没有定义的行为都被拒绝
SELInux续
。所有的文件和进程都有一个安全上下文属性
。属性有着几个元素,按照安全的需要
。用户:角色:类型:敏感级别:分类
。user_u:object_r:tpm_t:s0:c0
。不是所有的系统都显示s0:c0
ls -Z
ps -Z
。通常与其他选项一起使用,比如-e
SELinux:目标策略
。在安装的时候就装载了目标策略
。很多本地进程都为unconfined未定义
。很多类型强制性规则
。可以通过chcon修改安安上下文属性
。chcon -t tmp_t /etc/hosts
。使用restorecon还原
。restorecon /etc/hosts
SELinux:管理
。模式:强制,默许,关闭
。可以改变目标策略强制性
。getenforce
。setenforce 0|1
。从GRUB中禁用selinux=0
。/etc/sysconfig/selinux
。system-config-securitylevel
。改变模式,禁用时需要重启
。system-config-selinux
。布尔值
。setoubleshootd
。提议如何避免错误,但不能确保安全
排错顺序:
网络/防火墙;配置文件;文件权限;selinux
vim /etc/sysconfig/selinx 永久修改SELINUX模式
开机关闭selinux:vim /etc/grub.conf内核kernel最后一段传入参数selinux=0
#getsebool -a | grep ftp //查看selinux布尔值,可以通过布尔值过滤单独服务来改变布尔值
#setsebool -P ftp_home_dir=1 //修改ftp_home_dir永久为1,其中-P参数为永久修改。
也可以通过修改文件 /selinux/booleans去修改,建议通过命令模式修改。