·SELinux(Secure Enhanced Linux)安全增强linux是NSA针对计算机基础机构安全开发的一个全新的linux安全策略机制,SELinux允许管理员更加灵活的定义安全策略,
·SELinux是一个内核级的安全机制,在2.6内核之后集成在内核中,
·主流的Linux发行版都会集成SELinux机制,CentOS/RHEL默认会开启DELinux,
·因为SELinux是内核级机制,所以对SELinux的修改一般需要重启,
·SELinux基本概念:
·所有的安全机制都是对两样东西做出限制:进程和系统资源,
·SELinux针对这两种类型定义了两个基本概念:域(domain)和上下文( and context),
·域用来对进程进行限制,
·上下文用来对系统资源进行限制,
·ps -Z可查看进程的域,
·ls -Z可查看文件的上下文,
·SELinux目标策略:
·SELinux通过定义策略来控制哪些域(进程)可以访问哪些上下文(文件),
·SELinux有很多预警策略,通常不需要自定义策略(排除需要对自定义服务、进程进行保护),
·CentOS/RHEL使用预置的目标(target)策略,
·目标策略定义只有目标进程受到SELinux限制,其他进程运行在非限制模式下,目标策略只影响网络应用,
·CentOS中受限制的网络服务程序有200个左右,如dhcpd,hpptd,mysqld,named,ntpd,rpcbind,squid,syslogd,
·SELinx模式、级别:
·模式有三种:
·强制enforcing,违反策略的行为都被禁止,并作为内核信息记录,
·允许permissive,违反策略的行为都不禁止,但是会产生警告信息,
·禁用disabled,禁用SELinux,与不带SELinux功能的系统一样,
·SELinux模式的配置文件为/etc/sysconfig/selinux:SELINUX=permissive,
·getenforce查看当前SELinux工作状态,
·setenforce 0|1设置SELinux工作状态,0为允许,1为强制,
·策略、域、上下文:
·用ps -Z或ls -Z显示的信息类似如下:
system_u:object_r:httpd_exec_t:so,对应:用户:角色:类型:MLS/MCS
·在对系统进行管理时,对文件的操作有时会改变文件的上下文,导致一些进程无法访问某些文件,所以我们一般需要检查、修改文件的上下文,
·restorecon -R -v /var/www,命令restorecon可以用以恢复文件默认的上下文,-R对目录使用,
·chcon --reference=/etc/named.conf.orig /etc/named.conf,命令chcon可以改变文件的上下文,参照前者修改后者,
·
·比如在家目录新建了一个html文件,剪切到apache目录,不可以访问了,就需要-R恢复下,
·
原文地址:http://hclgogo.blog.51cto.com/1494961/1635634
