SELinux介紹
防火墻和SELinux的區(qū)別
SELinux(??傳送門(mén)??)是Security-Enhanced Linux的縮寫(xiě),表示“安全增強(qiáng)型Linux”,他是美國(guó)國(guó)家安全局在Linux開(kāi)源社區(qū)幫助下開(kāi)發(fā)的MAC的安全子系統(tǒng),其中MAC表示“強(qiáng)制訪問(wèn)控制”,指一種由操作系統(tǒng)約束的訪問(wèn)控制。
SELinux的“雙重保險(xiǎn)”模式 | 含義 |
域限制 (Domain Limitation) | 對(duì)服務(wù)程序的功能進(jìn)行限制 |
安全上下文 (Security Context) | 對(duì)文件資源的訪問(wèn)限制 |
防火墻就想“防盜門(mén)”,用于抵御外部的危險(xiǎn)
SELinux就想“保險(xiǎn)柜”,用于保護(hù)內(nèi)部的資源
SELinux的三種配置模式配置模式 | 含義 |
enforcing | 強(qiáng)制啟用安全策略模式,將攔截服務(wù)的不合法請(qǐng)求 |
permissive | 遇到服務(wù)越權(quán)訪問(wèn)時(shí),執(zhí)法處警告而不強(qiáng)制攔截 |
disabled | 對(duì)于越權(quán)的行為不警告也不攔截 |
查看當(dāng)前SELinux狀態(tài)
sestatus
查看關(guān)于文件信息的更詳細(xì)信息
sestatus -verbose獲取當(dāng)前SELinux的運(yùn)行模式
getenforce
暫時(shí)禁用SELinux運(yùn)行模式(重啟失效)
setenforce 0啟用SELinux運(yùn)行模式
setenforce 1為某文件或者目錄添加SELinux上下文(針對(duì)apache)
semanage fcontext -a -t httpd_sys_content_t 文件目錄(或者文件目錄/*)
restorecon -Rv 文件目錄
