SELinux介紹

SELinux(??傳送門??)是Security-Enhanced Linux的縮寫,表示“安全增強型Linux”,他是美國國家安全局在Linux開源社區(qū)幫助下開發(fā)的MAC的安全子系統(tǒng),其中MAC表示“強制訪問控制”,指一種由操作系統(tǒng)約束的訪問控制。

SELinux的“雙重保險”


模式

含義

域限制

(Domain Limitation)

對服務程序的功能進行限制

安全上下文

(Security Context)

對文件資源的訪問限制

防火墻和SELinux的區(qū)別

防火墻就想“防盜門”,用于抵御外部的危險

SELinux就想“保險柜”,用于保護內部的資源

SELinux的三種配置模式


配置模式

含義

enforcing

強制啟用安全策略模式,將攔截服務的不合法請求

permissive

遇到服務越權訪問時,執(zhí)法處警告而不強制攔截

disabled

對于越權的行為不警告也不攔截

查看當前SELinux狀態(tài)

sestatus

查看關于文件信息的更詳細信息

sestatus -verbose

獲取當前SELinux的運行模式

getenforce

暫時禁用SELinux運行模式(重啟失效)

setenforce 0

啟用SELinux運行模式

setenforce 1

為某文件或者目錄添加SELinux上下文(針對apache)

semanage fcontext -a -t httpd_sys_content_t 文件目錄(或者文件目錄/*)
restorecon -Rv 文件目錄