selinux

访问控制

  1. DAC:任意访问控制

  2. MAC:强制访问控制

MAC为系统中所有的进程分配了标签,每个系统资源也有标签,使用者通过编写规则控制某个资源的访问。

使用MAC的原因

1.软件有缺陷,需要安全模块补充

2.MAC可以和DAC并行运行,两者同时生效,不冲突。

3.MAC的规则非常灵活,可以按需配置。

Selinux 工作原理

  1. 类型强制 根据进程与对象的标签类型,来判断某个进程是否有权读取相应的对象。

  2. 多类别安全 (MCS强制) 对多个同类进程设置不同的标签,以此区分。

配置Selinux

1.安全上下文 用户,角色,类型 普通用户登录系统预设的:user_u 管理员登陆后系统预设的:root 开机过程中系统进程的预设:system_u

相关命令

chcon [-R] [-t type] [-u user] [-r role] 文件

  • 选项与参数:

-R:连同该目录下的次目录也同时修改; -t:后面接安全性本文的类型字段 -u:后面接身份识别,例如system_u -r:后面接角色,例如system_r;

restorecon 还原成原有的selinux type 格式:restorecon [ -RV] 档案或目录

  • 选项与参与:

-R:连同次目录一起修改; -v:将过程显示到屏幕上

  • 命令 chcon 设置安全上下文 restorecon 回复默认安全上下文

  • getsebool -a 命令列出系统中的selinux布尔值 /selinux/booleans

  • setsebool 命令用来改变selinux布尔值 on/off