本文介绍了SELinux的基本概念及其在Linux系统中的应用。详细解释了SELinux如何通过强制访问控制提高系统的安全性,包括其工作原理、配置方法及不同模式的区别。
SELinux简介
SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)对于强
制性访问控制的实现,是linux上最查出的新安全子系统。
应用SELinux后,可以减轻恶意攻击或恶意软件带来的灾难,并提供对机密性和完整性有很高
要求的信息很高的安全保障。
SELinux 是安全加强linux (security enhanced linux).
一个进程能否访问一个文件取决于发起进程的用户和文件的权限。
例如:srvd进程想访问/var/www/html/*中的文件,我们创建的用户aaron此时是否能够访
问/var/www/html/*的文件取决于aaron的权限,我们创建的文件的默认权限是644,目录权限是
755。aaron可以访问fstab passwd部件,如果黑客劫持了srvd进程,就可以访问一些重要文件
了,这是一件非常可怕的事。
再比如用户aa创建了一个文件,想让用户bb访问,怎么办呢?改变其他用户的权限?那么其它
用户也能访问,这并不是我们想要的。在现有模型下,我们很难实现单个用户对单个文件的权限限
制,但是selinux就可以实现这个问题。
SElinux定义了哪些用户可以访问那些文件,它提供了一系列机制,来限制用户权限的访问!
通过selinux配置文件来启用和停用selinux的方法:
Redhat系统,selinux的配置文件为:/etc/sysconfig/selinux
配置文件中提供了下列两个参数: selinux selinuxtype
1、selinux启用模式介绍:
selinux=status 指定是否要启用selinux子系统。
status有如下三种状态:
enforcing 启用强制性的selinux系统,当违反selinux原则时,强制禁止读取。
permissive 启用宽容的selinux系统,当违反selinux原则时,仍允许读取但会显示警告信息。
disabled 停用selinux子系统。
如下示:
selinux=disabled
更改后需要重启linux系统才能生效!!
2、selinux使用policy介绍
selinuxtype=policy
指定要使用的selinux安全原则,其中policy为selinux安全原则名称。
说明如下:
targeted:对部分网络应用进行保护
strict:完整保护受限模式
mls: 较新的保护模式,目前仅处于理论阶段。
3、selinux用于grub的参数
(这此参数的作用是向kernel传入参数指定selinux相关功能)
手动切换selinux模式不需要重新开机,一旦成功地修改执行模式,selinux会立即改变执行的方法!!
用于grub的选项参数如下所示:
selinux=[0|1]
用于设定内核是否支持selinux
1、检查当前模式
方法一、
[root@bogon ~]# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: enforcing
Mode from config file: disabled
Policy version: 21
Policy from config file: targeted
方法二、
[root@bogon ~]# getenforce
Enforcing 得知当前我的linux以强制模式执行selinux子系统!
2、修改selinux执行模式
setenforce [value]
其中value可以使用以下两种模式
enforcing或者1:修改成强制模式
permissive或者0:修改成允许模式
如:
[root@bogon ~]# setenforce 0
[root@bogon ~]# getenforce
Permissive
扫一扫
752
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
