SElinux

SElinux:Secure Enhanced Linux

  SElinux工作与linux内核中他所实现的功能叫做强制访问控制机制。DAC:是linux的自主访问控制。MAC:是SElinux引入的访问法则,叫作强制访问控制。

  SElinux有两种工作级别:

    strick:严格级别,每个进程都收到SElinux的控制:
    targeted:仅有限个进程受到SElinux控制:
        只监控容易被入侵的进程:

SElinux是如何工作的

subject: 进程
object: 包括进程,文件,
文件支持的操作:open, read, write, close, chown, chmod
该模型为一个进程对另一个对象进行操作,被操作的对象可以为进程,也可以是文件目录等,subject:存在domain(域),
object:存在type(类型),而所允许的操作其subject和object要求域内存在所允许的类型的文件
selinux围绕一个进程所能够对另外一个进程被操纵资源的操作功能,
被操纵资源的操作功能受限于一个文件被操作资源和操作者两者是否位于同一个区域内。
SElinux为每个文件提供了安全标签,也为进程提供了安全标签,安全标签使用冒号隔开由五段组成,
最后两段对于在CentOS系列的文件系上是无太多意义的:selinux必须在系统启动时候激活内核加载此功能
    user:role:type
        user:selinux的user;
        role:角色
        type:类型

SElinux规则库:库里定义了很多规则

规则说明了哪种域能访问哪种或哪些种类型内的文件

如何配置SElinux:

SElinux是否启用:
    启用与否的模式有三种:
        enforcing:强制,每个受限的进程都必然受限
        permissive:启用,每个受限的进程违规操作不会被禁止,但会被记录于审计日志
        disabled:关闭
        注意:如果当前系统SElinux处于disabled状态,无论需要启用为enfotcing,permissive状态,
        都需要重启系统让内核对根文件系统上的所有文件做打标签以后才能启用。如果当前系统SElinux处于permissive状态,
        需要改为enfotcing就简单多了,想看以下命令;

        相关命令:
            getenforce:获取selinux当前状态:
            setenforce 0|1
                0:设置为permissive
                1:设置为enforcing
            注意:此设定重启系统后无效;需要当前系统selilnux为启用状态。如果要想永久有效需要改配置文件,改完以后需重启

            配置文件:/etc/sysconfig/selinux,/etc/selinux/config
                SELINUX={disabled|enforcing|permissive}


给文件重新打标:
    chcon:
        chcon [OPTION]... CONTEXT FILE...
        chcon [OPTION]... [-u USER] [-r ROLE] [-t TYPE] FILE...
        chcon [OPTION]... --reference=RFILE FILE...
          -R:递归打标;

还原文件的标签:
    restorecon [-R] /path/to/somewhere

设定某些布型特性:
    getsebool:显示布尔型特性
        getsebool [-a] [boolean]
    setsebool:设置布尔型特性
        setsebool [ -P] boolean value | bool1=val1 bool2=val2 …
        -P:保存在策略库中,立刻有效

练习1、启用SElinux策略并安装http服务,改变网站的默认主目录为/website,添加SElinux文件标签规则,使网站可访问

1)安装httpd,并且开启, 修改SElinux配置文件为enforcing强制状态然后重启,并且重启后需要httpd是开启状态

SElinux

SElinux

2)创建/website并且给目录打标

SElinux

SElinux

3)编辑httpd.conf文件,修改默认目录为/website

]#vim/etc/httpd/conf/httpd.conf

SElinux

练习2、修改上述网站的http端口为9527,增加SElinux端口标签,使网站可访问

1)修改httpd服务监听端口配置文件

SElinux

2)安装semange ]# yum install policycoreutils-python -y

3)将9527设置为httpd监听端口

SElinux

练习3、启用相关的SElinux布尔值,使上述网站的用户student家目录可通过http访问

]# setsebool httpdenablehomedirs=on

SElinux

配置完成,清空防火墙策略,访问测试

SElinux

SElinux

原创文章,作者:M20-1马星,如若转载,请注明出处:http://www.178linux.com/48719

(1)
上一篇 2016-09-23 12:26
下一篇 2016-09-23 15:41

相关推荐

  • mysql主从复制

    MySQL主从复制        主从复制原理: mysql主从同步其实是一个异步复制的过程,要实现复制首先在master上开启bin-log日志功能。整个过程需要开启3个线程, 分别是master开启IO线程,slave开启IO线程和SQL线程. (1) 在slave服务器执行start…

    Linux干货 2016-06-26
  • 系统启动流程 grub

    grub CentOS 6启动流程: POST —> Boot Sequence(BIOS) —> Boot Loader —>Kernel(ramdisk) —> rootfs —> switchroot —> /sbin/init—>(/etc/inittab, /etc/init/*.conf) —> 设…

    Linux干货 2016-09-16
  • N25 the second week

    1.文件管理命令 1.1.cat concatenate files and print on the standard output # 正序打印文件 cat [OPTION]… [FILE]… # 常用参数 -n 编号显示每行 -E 显示每行的结束符 1.2.tac concatenat…

    Linux干货 2016-12-19
  • linux入门

    linux入门 Centos中分root用户和普通用户,root为超级管理员,几乎具有所有的系统控制 刚进入linux系统,Ctrl+Alt+F[1-6]可以切换虚拟终端  (tty) 图形终端:CentOS 6: Ctrl + Alt + F7       CentOS 7:在哪个终端启动,即位于哪个虚拟终端 伪终端…

    Linux干货 2017-02-16
  • 如何自建系统内部 yum 仓库

       准备:     a.素材:一套centos6.9和一套centos7.3的ISO镜像光盘     环境:1.centos6.9和centos7.3,安装好的系统各一套(土豪随意 )     b.建立前请关闭防火墙,防止防火墙的干扰     &n…

    2017-08-05
  • 根分区伸缩实验

    众所周知LVM是Linux环境下对 磁盘进行管理的一种机制。用户在安装Linux操作系统时,难以分配合适的硬盘空间,当一个分区存放不下某个文件时,这个文件因为文件系统的限制,也不能 跨越多个分区来存放。而遇到出现某个分区耗尽时,只有使用调整分区大小的工具。随着LVM功能的出现,这些问题都迎刃而解,用户在无需停机的情况下可以方 便…

    Linux干货 2015-05-27