1.mac:對訪問的控制徹底化,對所有的檔案、目錄、埠的訪問都是基於策略設定的,可由管理員時行設定
2.rbac:對於使用者只賦予最小許可權。使用者被劃分成了一些role(角色),即使是root使用者,如果不具有sysadm_r角色的話,也不是執行相關的管理。**role可以執行哪些domain,也是可以修改的
3.安全上下文:所有的作業系統訪問控制都是主體和客體的相關訪問控制屬性,在selinux,訪問控制屬性稱為安全上下文,安全上下文是乙個簡單的、一致的訪問控制屬性,所有客體(檔案,程序間通訊,通訊管道,套接字,網路主機等)和主體(程序)有乙個和客體和他們相關的單一安全上下文,乙個程序的型別通常稱為域,域和域型別都一樣,即都是安全上下文的』type』,乙個安全上下文是由角色,使用者和型別識別符號
enforceing
表示強制
permissive
表示警告
disabled
表示關閉
1.當selinux開啟時,每個程式每個檔案都有特定的安全上下文。特定安全上下文的程式只能訪問特定安全上下文的檔案。如果我們可以改變安全上下文,使得程式可以訪問目標檔案。
2.解決方法一:臨時修改安全上下文
/var/log/messages 為系統日誌,提供一些解決方案 ,需要安裝服務才能提供解決方案
/var/audit/audit.log 為selinux真正的日誌,不提供解決方案
yum search selinux
yum install setroubleshoot-server.x86_64 -y
cd /mnt/
touch /mnt/westosfile
mv /mnt/westosfile /var/ftp/
> /var/log/messages
cat /var/log/messages #可以看到日誌提供的解決辦法 然後就能看到mv過去的了
restorecon -vr /var/ftp/ #重新整理(-v不行)利用這個更改標籤
ls -z /var/ftp/ #檢視標籤是否一致(只有標籤一致的時候才能看見複製過去的檔案)
2.沒有setroubleshoot 時日誌不提供解決辦法:
yum search selinux
yum -qa |
grep setroubleshoot
yum remove setroubleshoot-server.x86_64 -y
將上述步驟重新使用一遍,就看不到messages日誌提供的解決辦法
再次安裝軟體
yum install setroubleshoot-server.x86_64 -y
關於Linux下的umask
我們建立檔案的預設許可權是怎麼來的?如何改變這個預設許可權呢?當我們登入系統之後建立乙個檔案總是有乙個預設許可權的,那麼這個許可權是怎麼來的呢?這就是umask幹的事情。umask設定了使用者建立檔案的預設許可權,它與chmod的效果剛好相反,umask設定的是許可權 補碼 而chmod設定的是檔案...
關於Linux下的umask
我們建立檔案的預設許可權是怎麼來的?如何改變這個預設許可權呢?當我們登入系統之後建立乙個檔案總是有乙個預設許可權的,那麼這個許可權是怎麼來的呢?這就是umask幹的事情。umask設定了使用者建立檔案的預設許可權,它與chmod的效果剛好相反,umask設定的是許可權 補碼 而chmod設定的是檔案...
關於linux下的命令
pwd 顯示當前的工作目錄 cd 切換目錄 tree 以樹形結構圖顯示目錄下的所有內容 mkdir 建立目錄 touch 建立空檔案或改變檔案的時間戳屬性 ls 顯示目錄下的內容及相關屬性資訊 cp 複製檔案或目錄 mv 移動或重新命名檔案或目錄 rm 刪除檔案或目錄 rmdir 刪除空目錄 ln ...