SELinux:Security Enhanced Linux。SELinux 是 NSA(美国国家安全局)开发设计,整合到 Linux 内核中的一个模块。
0. 基本概念
DAC(Discretionary Access Control),自主访问控制,传统的文件权限和账号关系;
系统账号主要分为系统管理员(root)与一般用户,这两种身份能否使用系统上面的文件资源则与 rwx 的权限设置有关。自然各种权限设置对 root 是无效的。因此,当某个进程想要对文件进行访问时,系统就会根据该进程的所有者、用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。这种访问文件系统的方式呗称为“自主访问控制”(DAC),基本上就是依据进程的所有者与文件资源的 rwx 权限来决定有无访问的能力。
MAC(Mandatory Access Control),强制(委托)访问控制,以策略规则制定特定程序读取特定文件;
MAC 可以针对特定的进程与特定的文件资源来进行权限的控制,即使是 root,在使用不同的进程时,所能取得的权限不一定是 root,而是要看当时该进程的设置而定。如此一来,我们针对控制的“主体”编程了“进程”而不是“用户”。
1. SELinux 的运行模式
SELinux 通过 MAC 的方式来控管进程,其控制的主体(subject)是进程,而目标(object)则是该进程能否读取的“文件资源”,即其重点在于主体如何取得目标的资源访问权限。
2. SELinux 的启动、关闭与查看
并非所有的 linux distributions 都支持 SELinux。CentOS 5.x 本身就支持 SELinux,因 SELinux 是一种 linux 内核模块,因此无需自行编译 SELinux 到 Linux 内核中。
# getenforce
Enforcing
# SELinux 支持三种模式,分别如下:
enforcing:强制模式,代表 SELinux 正在运行中,已经开始限制 domain(主体程序,subject)/type(文件资源 object) 了
permissive:容许模式,代表 SELinux 正在运行中,不过仅会有警告信息并不会实际限制 domain/type 的访问,用于 SELinux 的调试;
disabled:SELinux 未运行;
# sestatus
# 列出目前的 SELinux 的策略(policy)
# vim /etc/selinux/config # selinux 配置文件
SELINUX=enforcing,调整 enforcing|permissive|disabled
SELINUXTYPE=targeted,目前仅有 targeted 与 strict