selinux
SElinux:Secure Enhanced Linux,工作于Linux内核中
DAC:自主访问控制
MAC;强制访问控制
SElinux两种工作级别:
strict:每个进程都受到selinux控制;
targeted:仅有限个进程受到selinux控制;
只监控容易被入侵的进程;
subject operation object
subject:进程
object:进程,文件
文件:open,read,write,close,chown,chmod
subject:domain
object:type
SElinux为每个文件提供了安全标签,也为进程提供了安全标签;
user:role:type
user:SElinux的user
role:角色
type:类型
SELinux规则库:
规则:哪种域能访问那种或哪些类型的内文件
配置SELinux
SELinux是否启动:
给文件重新打标:
设定某些布尔型开关:getsebool -a
SELinux的状态:
enforcing:强制,每个受限的进程必须受限;
permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录到审计日志中。
disabled:关闭;
如果当前系统是disabled,如果启用为enforcing或者permissive必须重启
getenforce:查看当前状态
setenforce:设置状态
0:设置为permissive
1:设置为enforcing
此设定:重启系统后无效。
配置文件:/etc/sysconfig/selinx, /etc/selinux/config
给文件重新打标;
chcon
chcon [OPTION]... CONTEXT FILE...
chcon [OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t
TYPE] FILE...
chcon [OPTION]... --reference=RFILE FILE...
-R 递归打标
chcon -t user_tmp_t home.txt
还原文件的默认标签:
restorecon
restorecon home.txt
布尔设置:
getsebool -a
getsebool httpd_can_sendmail
setsebool httpd_can_sendmail on/1
setsebool httpd_can_sendmail off/0
setsebool -P httpd_can_sendmail on/1-P永久有效
cat /var/log/audit/audit.log selinux警告日志
