SELinux是美国国家安全局开发的强制访问控制子系统,用于增强Linux的安全性。它通过域限制和安全上下文实现双重保护,限制服务程序功能并管控文件访问。防火墙与SELinux的主要区别在于,防火墙防止外部威胁,而SELinux保护内部资源。SELinux有三种配置模式:enforcing(强制启用)、permissive(警告模式)和disabled(禁用)。可以通过sestatus和setenforce命令查看和调整其运行状态。
SELinux介绍
防火墙和SELinux的区别
SELinux(传送门)是Security-Enhanced Linux的缩写,表示“安全增强型Linux”,他是美国国家安全局在Linux开源社区帮助下开发的MAC的安全子系统,其中MAC表示“强制访问控制”,指一种由操作系统约束的访问控制。
SELinux的“双重保险”模式 | 含义 |
域限制 (Domain Limitation) | 对服务程序的功能进行限制 |
安全上下文 (Security Context) | 对文件资源的访问限制 |
防火墙就想“防盗门”,用于抵御外部的危险
SELinux就想“保险柜”,用于保护内部的资源
SELinux的三种配置模式配置模式 | 含义 |
enforcing | 强制启用安全策略模式,将拦截服务的不合法请求 |
permissive | 遇到服务越权访问时,执法处警告而不强制拦截 |
disabled | 对于越权的行为不警告也不拦截 |
查看当前SELinux状态
sestatus查看关于文件信息的更详细信息
sestatus -verbose获取当前SELinux的运行模式
getenforce暂时禁用SELinux运行模式(重启失效)
setenforce 0启用SELinux运行模式
setenforce 1为某文件或者目录添加SELinux上下文(针对apache)
semanage fcontext -a -t httpd_sys_content_t 文件目录(或者文件目录/*)
restorecon -Rv 文件目录
扫一扫
6125
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
