SELinux
即安全强化的Linux。
一、基本概念
SELinux是通过MAC(强制访问控制,,可以针对特定的进程与特定的文件资源来进行访问权限的控制!也就是说即使你是root,在使用不同的进程时,获得的权限不一定是root)的方式来管理进程,目标是控制该进程对文件资源的读写权限。
1.策略
由于进程和文件数量非常庞大,所以SELinux会依据某些服务来指定基本的访问安全性策略。它通过详细的规则来指定服务开放与否。
策略分为以下两种:
1.targeted:针对网络服务限制较多,针对本机较少,是默认的策略。
2.strict:完整的SELinux限制,限制方面较为严格。
2.主体
当前模式下可以理解为进程
3.安全上下文
类似于文件系统的rwx权限(注意是类似)。安全上下文存在于主体进程(进程在内存中)中与目标文件资源中。
安全上下文是放置于文件的inode内的。
二、实战演练
1.查看SELinux当前状态
getenforceenforcing:强制模式,代表SELinux正在运行中,且已经正确开始限制domain/type了。
permissive:宽容模式,代表SELinux正在运行中,但并不起限制作用。用于调试
disabled:关闭,SELinux并没有实际运行
2.查看SELinux的策略
sestatus3.SELinux的配置文件
/etc/selinux/config
4.SELinux的启动与关闭
(1)到上述提到的配置文件中修改SELINUX与SELINUXTYPE的值
(2)到/boot/grub/menu.lst查看,不能出现selinux=0的字样。否则就无法启动SELinux
5.切换SELinux模式
setenforce [1|0]1:转成enforcing强制模式
0:转成permissive兼容模式
注意:setenforce无法在Disabled的模式下进行模式的切换。