?selinux；全稱安全加強的linux

secutity enhanced linux 上個世紀80年代美國國家安全屬NSA研發(fā)出 MAC：強制訪問控制 linux安全模型，每一個用戶，他所擁有的文件，他想共享使用。 例如redhat用戶，想讓gentoo用戶對自己的a.txt權限664的文件有寫權限。 就需要修改權限664-->666（DAC自主訪問控制） 這樣一來就有很大的風險，其他用戶也有了寫權限。 進程的執(zhí)行取決去用戶所擁有的權限，我們只想讓gentoo對a.txt具有寫權限，進行修改。對其他任何文件都不能修改。 那么我們就需要對他進行一些限制，將他能執(zhí)行的操作，僅限于a.txt這個文件。 我們就借助sandbox：沙盒 將他的權限限定在某個特定目標 我們定義一個進程類型為t1，在定義一個目標為t2 我們制定一個策略表，t1只能對t2執(zhí)行什么操作，把活動范圍限制在沙盒。 就是提供了一個域，將活動范圍限定在這個域之內。 subject：domain（type） 例如：一個web網站，linux系統上需要用戶發(fā)起httpd進程來訪問。這個用戶擁有rx權限。我們只需要用戶查看網頁就行了，不能讓他訪問我們的系統，那么只要將他限定在一個域內就行了。比如我們建一個目錄 /var/www,我們把用戶的httpd進程活動范圍限制在這個目錄。他就算搞破壞，也只是針對這個目錄，無法搞壞我們整個系統。 MAC做進了內核，-->SELinux selinux的模型： strict模型：安全級別太高，每一個進程都需要嚴格設定，五角大樓才用 - -！！ target模型：只對可能有風險的進行限定，web，ftp，http等 在/etc/selinux/config定義了類型 SELINUXTYPE=target在最后一行 可以關閉，只要修改SELINUX=enforcing enforcing-狀態(tài)為生效 permissive-狀態(tài)為生效，但不強制，只警告不阻止。發(fā)送郵件至日志 disabled-不開啟 下次開機生效 getenforce查看當前生效的模型 setenforce 0 或1改變狀態(tài)，在enforcing與permissive之間切換 /etc/sysconfig/selinux鏈接/etc/selinux/config 類型強制：selinux為每一個進程分配了一個標簽 label：標簽 user：用戶 role：組 type：類型 #ls -Z ?字段user：role：type 查看文件標簽 #ps -axZ ? ? ? ? ? ? ? ? ? ? ?查看進程標簽 定義規(guī)則，策略在/etc/selinux/targeted/policy/policy.21 它是二進制格式，不可直接制定，需要文本文件，在進行轉換 改變文件的類型# chcon -t 類型 文件名 我們可以通過修改文件標簽來限制進程訪問文件 restorecon -vvF 恢復文件類型 如果是目錄，只改目錄本身。要想對其子目錄及其文件生效，使用-R 如果ftp被selinux限制，就不能上傳了。 使用getsebool -a | less 查看進程功能的開啟與關閉 修改方法：setsebool 功能名 no或off 當前生效，永久有效要加-P選項

轉載于:https://blog.51cto.com/405168492/722646

總結

以上是生活随笔為你收集整理的安全的加强的linux：SELinux的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。