selinux 订阅
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。对于可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。 [1]  大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian或 Centos。它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX权限更好的访问控制。 展开全文
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。对于可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。 [1]  大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian或 Centos。它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNIX权限更好的访问控制。
信息
外文名
Security-Enhanced Linux
简    称
SELinux
地    位
Linux历史上最杰出的新安全系统
性    质
强制访问控制(MAC)安全系统
制造单位
美国国家安全局
SELinux发展历程
SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(Secure Computing Corporation)开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。以Linux作为因特网服务器是越来越普遍的事了。在我这几年作过的项目里,WEB的开发基本都是基于Linux的,这里有给大公司做的,也有给政府部门做的,当然更多的是中小企业做的。这其中给政府做的,我们把SELinux作为一个卖点,接受了不少项目。不论是政府还是民间企业,大家对信息安全问题是越来越关心了,因为企业的业务平台的服务器上存储着大量的商务机密,个人资料,个人资料它直接关系到个人的隐私问题。特别是我们政府的网站,作为信息公开的平台,它的安全就更显得重要了。这些连到互联网的服务器,不可避免的要受到来自世界各地的各种威胁。最坏的时候我们的服务器被入侵,主页文件被替换,机密文件被盗走。除了来自外部的威胁外,内部人员的不法访问,攻击也是不可忽视的。对于这些攻击或者说是威胁,当然有很多的办法,有防火墙,入侵检测系统,打补丁等等。因为Linux也和其他的商用UNIX一样,不断有各类的安全漏洞被发现。我们对付这些漏洞不得不花很多的人力来堵住它。在这些手段之中,提高OS系统自身的牢固性就显得非常的重要。
收起全文
精华内容
参与话题
问答
  • SELINUX

    2019-11-13 19:46:17
    1. 了解selinux (1)什么是selinux Selinux,内核级加强型防火墙。SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,...

    1. 了解selinux

    (1)什么是selinux

    Selinux,内核级加强型防火墙。SElinux是强制访问控制(MAC)安全系统,是linux历史上最杰出的新安全系统。对于linux安全模块来说,SElinux的功能是最全面的,测试也是最充分的,这是一种基于内核的安全系统。

    (2)selinux的三个模式

    Enforcing 强制(强制模式)— SELinux 策略强制执行,基于 SELinux 策略规则授予或拒绝主体对目标的访问
    Permissive 宽容(警告模式)— SELinux 策略不强制执行,不实际拒绝访问,但会有拒绝信息写入日志
    Disabled 禁用(关闭模式)— 完全禁用SELinux

    2. selinux的开启及模式调整

    编辑selinux的配置文件:

    vim /etc/sysconfig/selinux

    在这里插入图片描述

    注意:设置后必须要重启才能生效。

    调整模式

    ##警告模式
    setenforce 0
    ##强制模式
    setenforce 1
    ##状态查看
    getenforce
    

    在这里插入图片描述

    注意:不能通过模式调整将从开启状态(警告模式或者强制模式)调整到关闭状态,要调整必须通过配置文件来修改。

    3.修改文件安全上下文

    (1)查看文件和目录的安全上下文

    注意:以下实验是在selinux开启的情况下(enforcing)操作的。

    #查看安全上下文
    ls -Z	# 文件
    ls -Zd	# 目录
    

    在这里插入图片描述

    注意:selinux要开启。

    (2)修改安全上下文

    #临时修改文件的安全上下文
    chcon -t 安全上下文  文件
    

    在这里插入图片描述

    #列出内核安全上下文列表内容
    semanage fcontext -l
    #将目录本身及里面文件的加载到安全上下文里面
    semanage fcontext -a -t public_content_t '/westos(/.*)?'
    注意:真实的目录的安全上下文并没有变。(ls -Zd /westos)
    要想改变目录及里面文件的安全上下文:
    (1)reboot
    (2)restorecon -FvvR /westos
    

    在这里插入图片描述

    4. selinux的bool值的设定

    ##查看文件的bool值
    getsebool -a | grep 服务名称
    ##开启或者关闭
    setsebool -P 功能bool值 on|off
    

    (1)系统用户上传文件

    上传的功能是关闭的,所以不能上传。
    在这里插入图片描述
    开启功能:
    在这里插入图片描述

    在这里插入图片描述

    (2)匿名用户上传文件

    ###登录lftp
    lftp 172.25.254.120
    	#上传文件
    	put /etc/group   (会报错)
    #查看bool值
    getsebool -a | grep ftp
    	ftpd_anon_write=off	(功能是关闭的)
    ##开启功能
    stsebool -P  ftpd_anon_write on
    注意:但是还是不能上传,原因是目录没有可写的权限
    ##设置安全上下文,使目录的可写权限
    semanage fcontext -a -t public_content_rw_t "/var/ftp/pub(/.*)?"
    ##刷新
    restorecon -FvvR /var/ftp/pub
    

    在这里插入图片描述

    5.selinux 系统排错

    #查看selinux的报错日志
    /var/log/audit/audit.log
    #提供selinux的解决方法的日志
    /var/log/messages
    

    提供系统selinux排错的软件为:setroubleshoot-server,如果删除该软件,在messages中将不会提供解决方法。

    在这里插入图片描述

    在/var/log/messages 中寻求解决方法:

    在这里插入图片描述
    在这里插入图片描述

    执行找到的帮助:

    在这里插入图片描述

    展开全文
  • SELinux

    2019-06-02 21:29:54
    一.SElinux 1.SELinux基本概念 1.SELinux(Security-Enhanced Linux) :是一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat ...

    一.SElinux

    1.SELinux基本概念

    1.SELinux(Security-Enhanced Linux) :是一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。

    ps:selinux是工作在内核中的

    2.selinux与linux区别
    1)linux:linux属于DAC,自主访问控制,若进程被劫持,则可通过被劫持的进程为跳板,获得启动进程的用户的所有权限。

    2)selinux:selinux属于MAC,强制访问控制,进程被启动后,只能在设定范围内进程工作,若进程被劫持,也无法获得启动进程的用户的相关权限

    3.SElinux的工作级别:
    1)strict:每个进程都受到selinux的控制

    2)targeted:仅有限个进程受到selinux控制,可用于监控容易被入侵的进程

    4.linux进程的操作:subject operation object
    1)subject:进程

    2)object:进程或文件

    3)operation 文件:open,read,write,close,chown,chmod
    ps:subject:domain(域),object:type(类型)

    使用-Z选项可添加SELinux安全文本信息
    [root@7 ~]# ps auxZ | grep httpd
    system_u:system_r:"httpd_t":s0    root      46369  0.0  0.5 226220  5160 ?        Ss   20:41   0:00 /usr/sbin/httpd -DFOREGROUND
    system_u:system_r:httpd_t:s0    apache    46379  0.0  0.3 228304  3156 ?        S    20:41   0:00 /usr/sbin/httpd -DFOREGROUND
    system_u:system_r:httpd_t:s0    apache    46380  0.0  0.3 228304  3156 ?        S    20:41   0:00 /usr/sbin/httpd -DFOREGROUND
    system_u:system_r:httpd_t:s0    apache    46381  0.0  0.3 228304  3156 ?        S    20:41   0:00 /usr/sbin/httpd -DFOREGROUND
    system_u:system_r:httpd_t:s0    apache    46382  0.0  0.3 228304  3156 ?        S    20:41   0:00 /usr/sbin/httpd -DFOREGROUND
    system_u:system_r:httpd_t:s0    apache    46383  0.0  0.3 228304  3156 ?        S    20:41   0:00 /usr/sbin/httpd -DFOREGROUND
    unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 root 46388 0.0  0.0 112680 984 pts/0 S+ 20:41   0:00 grep --color=auto httpd
    ls -Z添加SELinux安全文本信息
    [root@7 ~]# ls -Z
    -rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
    -rw-r--r--. root root system_u:object_r:admin_home_t:s0 initial-setup-ks.cfg
    -rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 snap.tar.gz
    
    

    5.SElinux为每个进程或文件提供了安全标签:user:role:type
    1)user:SElinux的user

    2)role:角色

    3)type:类型;一般需要更仅有类型

    ps:SELinux规则库中,规定了哪种域能访问哪种或哪些种类型内的文件

    2.配置SELinux

    1.配置SELinux
    1)SELinux是否启用

    2)给文件打安全标签,实现控制访问

    3)设定某些布尔型特性,实现控制进程个各种功能

    2.SELinux的状态:
    1)enforcing:强制状态,每个受限的进程都必然受限

    2)permissive:启用状态,每个受限的进程违规操作不会被禁止,但会被记录于审计日志
    ps:审计日志位置/var/log/audit/audit.log

    3)disabled:关闭状态

    4)相关命令

    "更改selinux状态"
    1.getenforce:获取selinux当前状态
    [root@7 ~]# getenforce
    Enforcing
    2.setenforce 0|1:指定selinux状态
    [root@7 ~]# setenforce 0
    [root@7 ~]# getenforce
    Permissive
    ps:selinux必须在启动状态下,才可使用setenforce进程更改其状态,并且使用命令更改selinux状态重启后会消失,要永久有效需要更改配置文件
    3.selinux配置文件:
            1)/etc/sysconfig/selinux
            2)/etc/selinux/config
            3)更改方式:SELINUX={enforcing|disabled|permissive}
    
    "给文件打安全标签"
    1.相关语法:
       1) chcon [OPTION]... CONTEXT FILE...
       2) chcon [OPTION]... [-u USER] [-r ROLE] [-t TYPE] FILE...
       3) chcon [OPTION]... --reference=RFILE FILE...
       4)-R选项:可递归进行打安全标签
    2.还原文件的默认标签:restorecon [-R] /path/to/file
    

    3.布尔型规则:

    1.getsebool:查看布尔型标签
     1)语法:getsebool [-a] [boolean]
     2)-a选项:查看所有布尔型标签 getsebool -a
    查看特定布尔型标签
    [root@7 ~]# getsebool  httpd_can_connect_ftp
    httpd_can_connect_ftp --> off
    
    2.setsebool:设置布尔型标签
     1)语法:setsebool [ -P ] boolean value | bool1=val1 bool2=val2 ...
     2)-P选项:保存于策略文件中,使其永久生效
    [root@7 ~]# getsebool  httpd_can_connect_ftp
    httpd_can_connect_ftp --> off
    [root@7 ~]# setsebool httpd_can_connect_ftp on
    [root@7 ~]# getsebool  httpd_can_connect_ftp
    httpd_can_connect_ftp --> on
    

    4.更改安全标签练习:
    1)启用httpd服务,关闭防火墙,并在其对应目录下创建文件,查看其安全标签为,httpd_sys_content_t

    [root@7 html]# systemctl start httpd.service
    [root@7 html]# systemctl stop firewalld.service 
    [root@7 html]# systemctl disable firewalld.service 
    Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
    Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
    [root@7 ~]# cd /var/www/html/
    [root@7 html]# cat test.html
    testing
    2019.6.2
    [root@7 html]# ls -Z test.html
    -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 test.html
    

    此时的效果
    在这里插入图片描述
    2)更改其安全标签,确认selinux开启

    [root@7 html]# chcon -t admin_home_t test.html
    [root@7 html]# ls -Z test.html
    -rw-r--r--. root root unconfined_u:object_r:admin_home_t:s0 test.html
    [root@7 html]# getenforce 
    Enforcing
    

    此时已经无法访问http
    在这里插入图片描述

    3)关闭selinux,确认可以访问

    [root@7 html]# setenforce 0
    [root@7 html]# getenforce 
    Permissive
    

    可以进行访问
    在这里插入图片描述
    5)恢复其默认标签

    [root@7 html]# restorecon test.html 
    [root@7 html]# ls -Z test.html 
    -rw-r--r--. root root unconfined_u:object_r:"httpd_sys_content_t":s0 test.html
    

    无论开启selinux与否,均可以访问
    在这里插入图片描述

    展开全文
  • SElinux

    2017-09-04 15:03:51
    一、SElinux简介SELinux: Secure Enhanced Linux, 是美国国家安全局 (NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,...

    一、SElinux简介

    SELinux: Secure Enhanced Linux, 是美国国家安全局 (NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布,Linux内核2.6版本后集成在内核中。
    

    在linux 中有两种访问方式

    (1)DAC:discretionary Access Control 自由访问控制
    (2)MAC:Mandatory Access Control 强制访问控制
    
    DAC环境下进程是无束缚的
    MAC环境下策略的规则决定控制的严格程度
    MAC环境下进程可以被限制的 
    

    二、SElinux工作类型

    strict: centos5,每个进程都受到selinux的控制
    
    targeted: 用来保护常见的网络服务,仅有限进程受到selinux控制,只监控容易被入侵的进程,centos4只保护13个服务,centos5保护88个服务
    
    minimum:centos7,修改的targeted,只对选择的网络服务
    
    mls:提供MLS(多级安全)机制的安全性
    

    注意:targeted为默认类型,minimum和mls稳定性不足,未加以应用,strict已不再使用。
    三、SElinux安全上下文

    传统Linux,一切皆文件,由用户,组,权限控制访问。而在SELinux中,一切皆对象(object),由存放在inode的扩展属性域的安全元素所控制其访问。所有文件和端口资源和进程都具备安全标签:安全上下文(security context)。
    

    安全上下文有五个元素组成:

    user:role:type:sensitivity:category
    
    User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由(unconfined)进程。
    
    Role:定义文件,进程和用户的用途:文件:object_r,进程和用户:system_r
    
    Type:指定数据类型,规则中定义何种进程类型访问何种文件
    Target策略基于type实现,多服务共用:public_content_t
    
    Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified, secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0
    
    Category:对于特定组织划分不分层的分类,如FBI Secret,NSA secret, 一个对象可以有多个categroy, c0-c1023 共1024个分类, Target 策略不使用category
    

    示例:

    user_u:object_r:tmp_t:s0:c0
    

    实际上下文:存放在文件系统中 ls –Z;ps –Z
    期望(默认)上下文:存放在二进制的SELinux策略库(映射目录和期望安全上下文)中。semanage fcontext –l
    四、SElinux策略

    对象(object):所有可以读取的对象,包括文件、目录和进程,端口等
    
    主体:进程称为主体(subject)
    
    SELinux中对所有的文件都赋予一个type的文件类型标签,对于所有的进程也赋予各自的一个domain的标签。domain标签能够执行的操作由安全策略里定义。
    
    当一个subject试图访问一个object,Kernel中的策略执行服务器将检查AVC (访问矢量缓存Access Vector Cache), 在AVC中,subject和object的权限被缓存(cached),查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问
    
    安全策略:定义主体读取对象的规则数据库,规则中记录了哪个类型的主体使用哪个方法读取哪一个对象是允许还是拒绝的,并且定义了哪种行为是充许或拒绝
    

    (1)SElinux状态:

    enforcing: 强制,每个受限的进程都必然受限
    
    permissive: 允许,每个受限的进程违规操作不会被禁止,但会被记录于审计日志
    
    disabled: 禁用修改为此必须重新重启才能生效,是基于内核机制的。
    

    通常使用ls -l查看文件时最后又一个“.”说明启用SElinux功能。
    注意:cp会继承原文件的标签,而mv不会继承原文件标签。
    五、配置SElinux
    (1)命令
    查看SElinux命令

    getenforce :获取selinux当前状态
    sestatus:查看selinux状态
    setenforce:设置selinux
        0:设置为permissive
        1:设置为enforcing
    

    (2)配置文件

    /boot/grub/grub.conf可以在启动配置文件中修改。
    /etc/selinux/config-->/etc/sysconfig/selinux  在配置文件中修改。
    

    (3)修改标签
    chcon :change file SELinux security context
    格式:

    chcon [OPTION]... CONTEXT FILE...
    chcon [OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE...
    chcon [OPTION]... --reference=RFILE FILE...
        -R:递归打标签
        -t 修改文件或目录标签类型
    

    示例:

    [root@centos7~]#chcon -t user_home_t linux-3.17-rc1.tar.xz 
    

    restorecon:restore file(s) default SELinux security contexts
    示例:

    [root@centos7~]#restorecon linux-3.17-rc1.tar.xz 
    

    (4)默认安全上下文查询与修改
    (a)semanage依赖包policycoreutils-python
    查看默认的安全上下文

    semanage fcontext -l
    

    添加安全上下文

    semanage fcontext -a -t  CONTEXT /PATH/TO/SOMEFILE
    

    示例:

    semanage -fcontext -a -t httpd_sys_content_t‘/testdir(/.*)?’
    

    删除安全上下文

    semanage fconftext -d -t CONTEXT /PATH/TO/SOMEFILE
    

    示例:

    semanage fcontext   -d –t httpd_sys_content_t '/testdir(/.*)?'
    

    (b)SElinux端口标签

    查看端口标签

    semanage port –l
    

    添加端口

    semanage port -a -t port_label -p tcp|udp PORT 
    

    示例:

    semanage port -a -t http_port_t -p tcp 9527
    

    删除端口

    semanage port -d -t port_label -p tcp|udp PORT 
    

    示例:

    semanage port -d -t http_port_t -p tcp 9527
    

    修改现有端口为新标签

    semanage port -m -t port_label -p tcp|udp PORT
    

    示例:

    semanage port -m -t http_port_t -p tcp 9527
    

    (c)SElinux布尔型

    布尔型规则:

     getsebool 
     setsebool
    

    查看bool命令:

    getsebool [-a] [boolean] 
    semanage boolean –l 列出所有bool值
    
    semanage boolean -l –C 查看修改过的布尔值
    

    设置bool值命令:

    setsebool [-P] boolean value(on,off)
    
    setsebool [-P(永久)] Boolean=value(0,1)
    

    注意:bool配合某个服务一起使用的
    示例:

    [root@centos7~]#setsebool -P zoneminder_run_sudo=0
    [root@centos7~]#semanage boolean -l -C
    SELinux boolean                State  Default   Description
    
    zoneminder_run_sudo            (off  ,  off)  Allow zoneminder to run sudo
    

    (5)SElinux日志管理

    yum install setroubleshoot(重启生效)安装此包将错误的信息写入/var/log/message
    
    grep setroubleshoot /var/log/messages
    
    sealert  -l UUID  字符界面使用
    sealert  图形界面调用警报
    

    查看安全事件日志说明

     sealert  -a /var/log/audit/audit.log
    

    扫描并分析日志
    (6)SElinux帮助

    yum –y install selinux-policy-devel ( centos7.2)
    yum –y install selinux-policy-doc
    mandb | makewhatis
    man -k _selinux
    

    练习:

    1、启用SELinux策略并安装httpd服务,改变网站的默认主目录为/website,添加SELinux文件标签规则,使网站可访问

    [root@localhost~]#chcon -t httpd_sys_content_t /website  -R #修改标签
    [root@localhost~]#ll -Z /website/www/
    -rw-r--r--. root root unconfined_u:object_r:usr_home_t:s0 index.html
    

    访问网页:
    这里写图片描述

    2、修改上述网站的http端口为9527,增加SELinux端口标签,使网站可访问
    修改配置文件以后,重新刷新网页不能打开
    这里写图片描述

    [root@localhost~]#semanage port -a -t http_port_t -p tcp 8080
    

    3、启用相关的SELinux布尔值,使上述网站的用户student的家目录可通过http访问

    [root@localhost~]#setsebool -P httpd_read_user_content=1
    [root@localhost~]#semanage boolean -l  -C
    

    4、编写脚本selinux.sh,实现开启或禁用SELinux功能

    展开全文
  • Selinux

    2014-10-31 16:51:54
    Selinux 配置文件 /etc/sysconfig/selinux #vim /etc/sysconfig/selinux  1 # This file controls the state of SELinux on the system.  2 # SELINUX= can take one of these three values:  3 # en
    Selinux


    配置文件  /etc/sysconfig/selinux
    #vim /etc/sysconfig/selinux
      1 # This file controls the state of SELinux on the system.
      2 # SELINUX= can take one of these three values:
      3 #       enforcing - SELinux security policy is enforced.
      4 #       permissive - SELinux prints warnings instead of enforcing.
      5 #       disabled - SELinux is fully disabled.
      6 SELINUX=disabled
      7 # SELINUXTYPE= type of policy in use. Possible values are:
      8 #       targeted - Only targeted network daemons are protected.
      9 #       strict - Full SELinux protection.
    10 SELINUXTYPE=targeted



    安全机制
    DAC  :自主访问控制    主体是用户
    MAC  :强制访问控制     主体是进程

    启用Selinux后
    #cd /root/
    #ll -Z              //查看文件的安全上下文(标签)
    #ps -eZ|grep httpd    //查看进程的标签

    #chcon -t httpd_sys_content_t /var/www/html/2.html   //修改文件的安全上下文中的类型,apache才能访问

    [root@station252 ~]#semanage port -l |grep http    //查看http进程能使用的端口和安全上下文的类型
    http_cache_port_t              tcp      3128, 8080, 8118, 11211, 10001-10010
    http_cache_port_t              udp      3130, 11211
    http_port_t                    tcp      80, 443, 488, 8008, 8009, 8443
    pegasus_http_port_t            tcp      5988
    pegasus_https_port_t           tcp      5989
    [root@station252 ~]#

    修改httpd 监听端口为8888后,需要将8888端口加入到安全上下文的http_port_t 类型,否则启动不了http
    [root@station252 ~]# semanage port -a -t http_port_t -p tcp 8888
    [root@station252 ~]# semanage port -l|grep http
    http_cache_port_t              tcp      3128, 8080, 8118, 11211, 10001-10010
    http_cache_port_t              udp      3130, 11211
    http_port_t                    tcp      8888, 80, 443, 488, 8008, 8009, 8443
    pegasus_http_port_t            tcp      5988
    pegasus_https_port_t           tcp      5989
    [root@station252 ~]#
    [root@station252 ~]# service httpd start

    [root@station3 ~]# getsebool -a |grep ftp          //查看selinux中ftp的bool值
    [root@station3 ~]# setsebool -P ftp_home_dir on    //修改bool值


    [root@vm8 ule]# getenforce
    Enforcing
    [root@vm8 ule]# setenforce 0
    [root@vm8 ule]# getenforce
    Permissive
    [root@vm8 ule]# setenforce 1
    [root@vm8 ule]# getenforce
    Enforcing
    [root@vm8 ule]# setenforce 2
    usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]
    [root@vm8 ule]# 
    展开全文
  • selinux

    2019-05-06 14:57:11
    selinux级别的不同对服务的影响 selinux是内核上的一个插件 vim /etc/sysconfig/selinux 配置文件 SELINUX=XXXX(disabled,enforcing) 作用: 1.给文件加上一个标签,不符合标签的文件无法访问 2.给功能加上...

空空如也

1 2 3 4 5 ... 20
收藏数 23,691
精华内容 9,476
热门标签
关键字:

selinux

linux 订阅