1.介绍
selinux是 security enhanced linux ,安全强化linux,是linux内核的一个模块,我的理解就是按照进程来设置权限,而不是传统的用户角色,这样就避免了root被盗窃而引起的一系列安全问题,因为root拥有最高权限.
2.策略
主要有三种策略:
1.targeted: 针对网络限制多,本机限制少,默认的设置.
2.minimum: 针对选择的进程来保护.
3.mis: 完整的selinux限制,限制比较严格.
3.查看
ls -Z
输入这个命令我们可以看到selinux的权限
unconfined_u:object_r:admin_home_t 分别代表:
Identify:role:type 身份识别:角色:类型
最重要的是类型,在文件中称为type,进程中称为domain.
所以说,文件的权限不能仅仅查看rwx,还要查看selinux的权限.
4. SELinux的三种模式
enforcing: 强制模式,selinux运行中,已经开始限制domain/type;
permissive: 宽容模式,selinux运行中,不过仅会有警告信息并不会实际限制domain/type的读写.
disabled: 关闭模式,selinux并没有实际运行.
可以执行下列命令查看selinux模式
getenforce
可以执行下列命令查看selinux策略
sestatus
可以通过修改/etc/seLinux/config文件来修改selinux配置
vim /etc/sellnux/config
可以通过执行setenforce来修改宽容模式和强制模式
setenforce [0|1]
5. SElLinux 策略内的规则管理
查看常用的命令是 getsebool , seinfo , sesearch, 不过需要安装软件
#查看所有规则 getsebool -a #列出selinux在此策略下的统计状态 #需安装软件yum install setools-console.x86_64 seinfo #找出crond_t这个主体进程能够读取的文件SELinux类型 #一样需安装软件yum install setools-console.x86_64 sesearch -A -s crond_t | grep spool
#修改SELinux规则的布尔值 setsebool -P [规则] [0|1]
6. SELinux安全上下文的修改
chcon修改
#chcon修改类型
chcon -v -t net_conf_t /etc/cron.d/checktime
上述命令把/etc/cron.d/checktime修改为net_conf_t的类型.
#或者我们可以加上 --reference=来根据文件设置类型
chcon -v --reference=/etc/shadow /etc/cron.d/checktime
上述命令把/etc/cron.d/checktime文件类型设置为/etc/shadow的文件类型.
restorecon修改
我们可以直接执行restorecon命令来修改目录下的文件为默认的SELinux类型
restorecon -Rv /etc/cron.d
这个命令比较常用,不容易出错
semanage
查看/etc/cron.d目录下设置的SELinux类型
semanage fcontext -l | grep -E '^/etc |^/etc/cron'
.