安全的加强的linux:SELinux
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-03-26
selinux;全称安全加强的linux secutity enhanced linux 上个世纪80年代美国国家安全属NSA研发出 MAC:强制访问控制 linux安全模型,每一个用户,他所拥有的文件,他想共享使用. 例如redhat用户,想让gentoo用户对自己的a.txt权限664的文件有写权限. 就需要修改权限664-->666(DAC自主访问控制) 这样一来就有很大的风险,其他用户也有了写权限. 进程的执行取决去用户所拥有的权限,我们只想让gentoo对a.txt具有写权限,进行修改.对其他任何文件都不能修改. 那么我们就需要对他进行一些限制,将他能执行的操作,仅限于a.txt这个文件. 我们就借助sandbox:沙盒 将他的权限限定在某个特定目标 我们定义一个进程类型为t1,在定义一个目标为t2 我们制定一个策略表,t1只能对t2执行什么操作,把活动范围限制在沙盒. 就是提供了一个域,将活动范围限定在这个域之内. subject:domain(type) 例如:一个web网站,linux系统上需要用户发起httpd进程来访问.这个用户拥有rx权限.我们只需要用户查看网页就行了,不能让他访问我们的系统,那么只要将他限定在一个域内就行了.比如我们建一个目录 /var/www,我们把用户的httpd进程活动范围限制在这个目录.他就算搞破坏,也只是针对这个目录,无法搞坏我们整个系统. MAC做进了内核,-->SELinux selinux的模型: strict模型:安全级别太高,每一个进程都需要严格设定,五角大楼才用 - -!! target模型:只对可能有风险的进行限定,web,ftp,http等 在/etc/selinux/config定义了类型 SELINUXTYPE=target在 一行
可以关闭,只要修改SELINUX=enforcing
enforcing-状态为生效
permissive-状态为生效,但不强制,只警告不阻止.发送邮件至日志
disabled-不开启
下次开机生效
getenforce查看当前生效的模型
setenforce 0 或1改变状态,在enforcing与permissive之间切换
/etc/sysconfig/selinux链接/etc/selinux/config
类型强制:selinux为每一个进程分配了一个标签
label:标签
user:用户
role:组
type:类型
#ls -Z 字段user:role:type 查看文件标签
#ps -axZ 查看进程标签
定义规则,策略在/etc/selinux/targeted/policy/policy.21
它是二进制格式,不可直接制定,需要文本文件,在进行转换
改变文件的类型# chcon -t 类型 文件名
我们可以通过修改文件标签来限制进程访问文件
restorecon -vvF 恢复文件类型
如果是目录,只改目录本身.要想对其子目录及其文件生效,使用-R
如果ftp被selinux限制,就不能上传了.
使用getsebool -a | less 查看进程功能的开启与关闭
修改方法:setsebool 功能名 no或off
当前生效,永久有效要加-P选项
本文出自 “屈斌” 博客,请务必保留此出处http://405168492.blog.51cto.com/3839809/722646
|
||
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: Linux文件操作里神秘的当前指针下一篇: linux 查看端口命令
关于安全的加强的linux:SELinux的所有评论
