SELinux:Security Enhanced Linux 安全加強的linux
DAC àMAC
DAC:自主訪問控制 (Discretionary Access Control )每個用戶可以隨意修改自己的文件權限
MAC:強制訪問控制 (Mandatory Access Control) 把權限都定義在sandbox中
C2à B1 C2 C1 B3 B2 B1 A1
(ls -Z 查看文件 及其安全上下文,統稱標籤) id -Z顯示當前用戶類型
SELinux Policy :selinux策略 定義文件在/etc/selinux/targeted/policy下policy.21
strict: 嚴格級別 targeted:挑選性定製進程進行限定 其他對自身沒影響的就不限定了
selinux就採用的是targeted這種類型 unconfined_d:未定義的類型
getsebool -a 顯示所有的布爾值 布爾:在限定用戶權限時定義的值(在sandbox中)
getenforce 查看當前selinux功能是否打開
在/etc/selinux/config=/etc/sysconfig/selinux中定義默認targeted類型 也定義selinux啓用類型
setenforce 1|0 設置selinux工作模式 1表示enforcing 0表示permissive 臨時起效
在/etc/grub.conf設置selinux是否啓用 0表示不啓用 1表示啓用 在內核後面加selinux 0|1
登錄進來的身份標誌有三種:root user_u表示普通用戶 system_u表示進程
semanage fcontext -l 列出所有文件可以使用的背景標籤
改文件標籤:chcon : change context -t用於改變文件標籤中的類型 -R遞歸修改,把一個目錄及其子目錄中的文件全部修改 --reference 把一個文件標籤複製到一個文件上去
例如:chcon --reference=fstab httpd.crt 以fstab文件類型爲標準把另個文件改爲和他一樣的類型
restorecon 後跟文件名 表示恢復文件的默認標籤類型 -R(-r)表示遞歸修改文件的標籤
setsebool 後跟文件名 on|off 打開或者關閉某個文件的布爾值 但只是臨時生效
在setsebool後加-P表示持久修改有效
在/var/log/audit/有audit.log存着selinux日誌