本文重点:了解SELinux并能够熟练地启动关闭selinux(就像精通windows系统开关机一样)
背景:在centos5.x之后,selinux 非常完备地成为了系统内核模块,centos5.x之后提供了很多命令行管理selinux
简介:selinux 全称是 Security Enhanced Linux 即安全提升版linux,协助管理进程与文件间的访问权限
用户对文件的操作权限大家都了解 通过chownchmodchgrp这些命令来进行管理,这种被称作‘自主访问控制DAC’,但是进程和文件之间的访问权限呢,如果一个你启动了一个你不熟悉的进程或者shell,而这个进程或shell包含对其他文件(包括系统文件)的破坏性操作,就可就大事不妙了。
selinux通过管理进程与文件之间的对应关系将这类意料之外的事件避免了,使一个进程能访问的文件在一个小圈圈范围内。通过制定策略让特定程序访问特定文件,说白了就是建立程序和文件之间的可访关系表,策略分为targeted(主管网络)和strict(全面管理),通常用targeted策略足以。除了策略和规则这俩术语,还有主体(程序)、目标(文件)、安全上下文。访问流程:主体(程序)-->SELinux(查找规则)-->安全上下文(AVC)-->rwx配置-->目标(文件)
查看当前selinux模式:getenforce
查看selinux所使用的策略信息:sestatus
配置文件:/etc/selinux/config
selinux 状态切换:从disabled到另外俩状态enforcing permissive,切换后重启机器生效。enforcing和permissive互换不需要重启。
setenforce 0转成permissive模式
setenforce 1转成enforce模式