SElinux

SElinux:Secure Enhanced Linux

  SElinux工作与linux内核中他所实现的功能叫做强制访问控制机制。DAC:是linux的自主访问控制。MAC:是SElinux引入的访问法则,叫作强制访问控制。

  SElinux有两种工作级别:

    strick:严格级别,每个进程都收到SElinux的控制:
    targeted:仅有限个进程受到SElinux控制:
        只监控容易被入侵的进程:

SElinux是如何工作的

subject: 进程
object: 包括进程,文件,
文件支持的操作:open, read, write, close, chown, chmod
该模型为一个进程对另一个对象进行操作,被操作的对象可以为进程,也可以是文件目录等,subject:存在domain(域),
object:存在type(类型),而所允许的操作其subject和object要求域内存在所允许的类型的文件
selinux围绕一个进程所能够对另外一个进程被操纵资源的操作功能,
被操纵资源的操作功能受限于一个文件被操作资源和操作者两者是否位于同一个区域内。
SElinux为每个文件提供了安全标签,也为进程提供了安全标签,安全标签使用冒号隔开由五段组成,
最后两段对于在CentOS系列的文件系上是无太多意义的:selinux必须在系统启动时候激活内核加载此功能
    user:role:type
        user:selinux的user;
        role:角色
        type:类型

SElinux规则库:库里定义了很多规则

规则说明了哪种域能访问哪种或哪些种类型内的文件

如何配置SElinux:

SElinux是否启用:
    启用与否的模式有三种:
        enforcing:强制,每个受限的进程都必然受限
        permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录于审计日志
        disabled:关闭
        注意:如果当前系统SElinux处于disabled状态,无论需要启用为enfotcing,permissive状态,
        都需要重启系统让内核对根文件系统上的所有文件做打标签以后才能启用。如果当前系统SElinux处于permissive状态,
        需要改为enfotcing就简单多了,想看以下命令;

        相关命令:
            getenforce:获取selinux当前状态:
            setenforce 0|1
                0:设置为permissive
                1:设置为enforcing
            注意:此设定重启系统后无效;需要当前系统selilnux为启用状态。如果要想永久有效需要改配置文件,改完以后需重启

            配置文件:/etc/sysconfig/selinux,/etc/selinux/config
                SELINUX={disabled|enforcing|permissive}


给文件重新打标:
    chcon:
        chcon [OPTION]... CONTEXT FILE...
        chcon [OPTION]... [-u USER] [-r ROLE] [-t TYPE] FILE...
        chcon [OPTION]... --reference=RFILE FILE...
          -R:递归打标;

还原文件的标签:
    restorecon [-R] /path/to/somewhere

设定某些布型特性:
    getsebool:显示布尔型特性
        getsebool [-a] [boolean]
    setsebool:设置布尔型特性
        setsebool [ -P] boolean value | bool1=val1 bool2=val2 …
        -P:保存在策略库中,立刻有效

练习1、启用SElinux策略并安装http服务,改变网站的默认主目录为/website,添加SElinux文件标签规则,使网站可访问

1)安装httpd,并且开启, 修改SElinux配置文件为enforcing强制状态然后重启,并且重启后需要httpd是开启状态

SElinux

SElinux

2)创建/website并且给目录打标

SElinux

SElinux

3)编辑httpd.conf文件,修改默认目录为/website

]#vim/etc/httpd/conf/httpd.conf

SElinux

练习2、修改上述网站的http端口为9527,增加SElinux端口标签,使网站可访问

1)修改httpd服务监听端口配置文件

SElinux

2)安装semange ]# yum install policycoreutils-python -y

3)将9527设置为httpd监听端口

SElinux

练习3、启用相关的SElinux布尔值,使上述网站的用户student家目录可通过http访问

]# setsebool httpdenablehomedirs=on

SElinux

配置完成,清空防火墙策略,访问测试

SElinux

SElinux

原创文章,作者:M20-1马星,如若转载,请注明出处:http://www.178linux.com/48719

(1)
上一篇 2016-09-23 12:26
下一篇 2016-09-23 15:41

相关推荐

  • MBR分区和GPT分区详解

    什么是磁盘分区?               磁盘分区是使用分区编辑器(partition editor)在磁盘上划分几个逻辑部分,盘片一旦划分成数个分区(Partition),不同类的目录与文件可以存储进不同的分区。越多分区,也就有更多不同的地方,可以将文件的性质区分得更细,按…

    Linux干货 2016-08-29
  • centos 7 修改sshd服务默认端口号

    由于最近sshd服务默认端口号22被匿名进行试探性的进行登入,为防止匿名用户再次进行试探性的登入,将sshd服务的默认端口号进行修改。 环境:centos 7.3  xshell 思路:先将sshd的被指文件进行修改,把sshd服务的默认端口号修改为所需要的端口号,然后重启sshd服务,发现重启报错。找其原因是应为selinux不允许自定义sshd…

    Linux干货 2017-04-06
  • Linux之查找命令find简介

    查找命令find简介    Linux使用过程中难免会遇到查找功能,类似于Windows中的搜索功能,如果想要找某个文件在什么地方,什么格式的文件等等。在Linux中我们可以使用find、locate、which、whereis等命令。接下来我们就简单说一下如何使用这几个命令查找文件。 一、which which命令的作用是,在PATH变…

    Linux干货 2015-05-18
  • LVS集群讲解

    目录 LVS介绍 LVS集群类型 LVS调度算法 ipvsadm/ipvs LVS-NAT模型演练 LVS-DR模型演练 LVS定义多集群 FWM实现多集群统一调度 LVS持久连接  每端口持久 每FWM持久 每客户端持久 LVS介绍 一般来说,LVS采用三层结构:负载调度器、服务器池、共享存储。工作在TCP/IP协议的四层,其转发是依赖于四层协议…

    Linux干货 2016-11-07
  • 集中管理利器-puppet快速入门-上

    带着问题来学习 Ø  从如下内容来看,如何自定义安装用户想要的东西呢?                                        …

    Linux干货 2015-04-22
  • 信息论的熵

    1.  前言    熵的概念最早起源于物理学,用于度量一个热力学系统的无序程度。    在信息论里则叫信息量,即熵是对不确定性的度量。从控制论的角度来看,应叫不确定性。信息论的创始人香农在其著作《通信的数学理论》中提出了建立在概率统计模型上的信息度量。他把信息定义为“用来消除不确定性的东西”。在信息世界,熵越…

    Linux干货 2016-03-27