目录(持续更新)
基础-第0章-安装
基础-第1章-基本操作
基础-第2章-磁盘及文件系统管理
基础-第3章-获得帮助
基础-第4章-用户及权限基础
基础-第5章-网络基本配置
基础-第6章-管道,重定向及文本处理
基础-第7章-系统启动详解
进阶-第1章-日志服务
进阶-第2章-DNS域名服务器
进阶-第3章-FTP文件共享服务
进阶-第4章-NFS文件共享服务
进阶-第5章-SMB文件共享服务
进阶-第6章-WEB服务Apache篇
进阶-第7章-电子邮件服务
进阶-第8章-Linux服务基础及管理
高级-第1章-LVM逻辑卷
高级-第2章-高级权限ACL
高级-第3章-RAID提升速度及冗余
高级-第4章-高级网络-网卡绑定,子端口
高级-第5章-SELinux安全系统基础
高级-第6章-IPTable防火墙基础
高级-第7章-Linux远程管理-SSH、VNC
第5章 SELinux安全系统基础
第一节
SELinux
SELinux 安全增强 NSA针对计算机结构安全开发的全新安全策略机制,允许管理员更灵活定义安全策略
SELinux是一个内核安全机制 2.6内核后集成在内核里
主流Linux发行版都有集成SELinux CentOS/RHEL默认开启
内核机制,一切内核级修改都需要重启
SELinux基本概念
所有安全机制是对两样东西做出限制
进程和系统资源(文件,网络套接字,系统调用等)
SELinux 针对这两种类型定义两个基本概念:域domain 上下文context
域对进程限制
上下文针对系统资源
命令ps -Z 查看进程的域
命令ls -Z 查看文件上下文
策略
SELinux通过定义策略来控制哪些进程访问哪些文件
很对预制策略,我们通常不需要定义策略
CentOS 预订target策略
target定义了只有目标进程收到SELinux限制,其他进程运行在非限制模式下
只影响网络服务程序
CentOS受限制的网络服务在200个左右
工作模式
强制(enforcing)
违反策略的动作都被禁止 并作为内核信息记录
允许(permissive)
违反策略的行动都不禁止 但是会产生警告信息
禁用(disabled)
禁用SELinux与不带SELinux功能的系统一样
配置文件为/etc/sysconfig/selinux
SELINUX=permissive
命令getenforce可查看当前SELinux工作状态
getenforce
命令setenforce可以设置当前SELinux工作状态
setenforce[0|1]
setenforce 0
setenforce 1
策略 域 上下文
命令 ps ls 加入-Z 参数可显示对应的SELinux信息
system_u : object_r : httpd_exec-t : s0
用户 :角色 :类型 :MLS MCS
策略规定进程可访问的文件
管理系统,文件操作会改百年文件爱你上下文,倒是进程无法访问
需要检查修改文件的上下文
命令 restorecon可以用于恢复文件默认的上下文
restorecon -R -v /var/www
命令chcon可以用以改变文件上下文
chcon --reference=/etc/named.conf.orig /etc/named.conf
