SELinux提供了一種靈活的強制訪問控制(MAC)系統,且內嵌於Linux Kernel中。SELinux定義了系統中每個用戶、進程、應用和文件的訪問和轉變的權限,然後它使用一個安全策略來控制這些實體(用戶、進程、應用和文件)之間的交互,安全策略指定如何嚴格或寬鬆地進行檢查。
selinux有三種模式:enforcing(強制)、permissive(警告)、disabled(關閉)
模式的查看與更改:
getenforce ##顯示模式
setenforce 0|1
– 0 表示 permissive ## 警告
– 1 表示 enforcing ## 強制
更改selinux開機狀態
配置文件:vim /etc/sysconfig/selinux
selinux=“需要更改的模式”
注意:disable狀態切換到permissive或enforcing狀態需要重啓系統
安全上下文:
所有操作系統訪問控制都是以關聯的客體和主體的某種類型的訪問控制屬性爲基礎的。在SELinux中,訪問控制屬性叫做安全上下文。所有客體(文件、進程間通訊通道、套接字、網絡主機等)和主體(進程)都有與其關聯的安全上下文,一個安全上下文由三部分組成:用戶、角色和類型標識符。通常格式如下:
USER:ROLE:TYPE[LEVEL[:CATEGORY]]
顯示 SELinux 文件上下文:
ls -Z
修改 selinux 安全上下文:
chcon -t ##一次性定製安全上下文,執行 restorecon 刷新後還原原先配置
例如:
chcon -t public_content_t /westos/
永久修改:
semanage fcontext
例如:
semanage fcontext -a -t public_content_rw_t ‘/var/ftp/pub(/.*)?’
##(/.*)?, 表示隨意地匹配 / 後跟任何數量的字符
監控 SELinux衝突
安裝 setroubleshoot-server 軟件包 ,才能將SELinux 消息發送至/var/log/messages
命令:yum install setroubleshoot-server -y
etroubleshoot-server 偵聽/var/log/audit/audit.log中的審覈信息並將簡短摘要發送至 /var/log/messages
摘要包括 SELinux 衝突的唯一標識符 ( UUIDs ),可用於收集更多信息。
Sealert -l UUID ##用於生成特定事件的報告。
Sealert -a /var/log/audit/audit.log ##用於在該文件中生成所有事件的報告
在該報告中,一般會給出報錯的解決方法。
