**:
selinux全稱是security enhanced linux,由美國****部(national security agency)領導開發的gpl專案,它擁有乙個靈活而強制性的訪問控制結構,旨在提高linux系統的安全性,提供強健的安全保證,可防禦未知攻擊,據稱相當於b1級的軍事安全效能。比ms nt所謂的c2等高得多。
應用selinux後,可以減輕惡意攻擊或惡意軟體帶來的災難,並提供對機密性和完整性有很高要求的資訊很高的安全保障。 selinux vs linux 普通linux安全和傳統unix系統一樣,基於自主訪問控制方法,即dac,只要符合規定的許可權,如規定的所有者和檔案屬性等,就可訪問資源。在傳統的安全機制下,一些通過setuid/setgid的程式就產生了嚴重安全隱患,甚至一些錯誤的配置就可引發巨大的漏洞,被輕易攻擊。
而selinux則基於強制訪問控制方法,即mac,透過強制性的安全策略,應用程式或使用者必須同時符合dac及對應selinux的mac才能進行正常操作,否則都將遭到拒絕或失敗,而這些問題將不會影響其他正常運作的程式和應用,並保持它們的安全系統結構。
selinux主要配製檔案位於/etc/selinux/下。在網路中的伺服器,建議開啟selinx,以提高系統的安全性。我這裡通過命令方式來改變selinx的安全策略,就不在對selinux的配製檔案做具體說明。
ø ls –z | ps –z | id –z
分別用於檢視檔案(夾)、程序和使用者的selinx屬性。最常用的是ls -z
ø sestatus
檢視當前selinux的執行狀態
ø setenforce
在selinux為啟動模式下,用此命令可以暫時停用selinux
ø getsebool
檢視當前policy(策略)的布林值
ø setsebool
設定policy的布林值,以啟用或停用某項policy
ø chcon
改變檔案或資料夾的content標記
新安裝的wordpress位於/vogins/share/wordpress下,按照系統的預設策略,/vogins,/vogins/share的selinux屬性為file_t,而這是不允許httpd程序直接訪問的。為此,需要做如下高調整:
1) 改變/vogins,/vogins/share的selinux屬性
shell> chcon –tvar_t /vogins
shell> chcon –tvar_t /vogins/share
2) 改變wrodpress目錄的selinux屬性
3) 允許apache程序訪問mysql
4) 關於apache裡虛擬主機的配製就裡就不多說,重新啟動apache,就可以正常訪問wordpress
注意:如果出現不能訪問的情況,請檢視/var/log/messages裡的日誌。一般來說,按照提示就可以解決了。
暴力修改SElinux許可權
平台版本 sdk版本 版本名稱 9.0 28 pie android p 8.1 27 oreo android o 奧利奧 8.0 26 oreo android o 奧利奧 7.1 25 nougat android n 牛軋糖 7.0 24 nougat android n 牛軋糖 6.0 2...
SELinux的狀態設定
selinux的狀態型別 enforcing 強制,每個受限程序都必然受到限制。permissive 允許,每個受限的程序違規操作不會被禁止,但是會被記錄於審計日誌。disabled 禁用 selinux的狀態檢視 getenforce 獲取selinux當前狀態 sestatus 可以檢視到詳細資...
selinux 核心防火牆設定
1 sestatus v 檢視selinux狀態 2getenforce 檢視selinux模式 3 setenforce 0 設定selinux為寬容模式 可避免阻止一些操作 4 semanage port l 檢視selinux埠限制規則 在selinux中註冊埠型別 6vi etc selin...