selinux(security enhanced linux 安全性增強的linux),由美國****局nsa開發,構建與kernel之上,擁有靈活的強制性訪問控制結構,主要用於提高linux的安全性,提供強健的安全保證,可以防禦未知攻擊。
傳統的linux在沒有selinux保護的時候,倘若執行於之上的伺服器被駭客攻陷,其伺服器最高許可權就可以隨之喪失,倘若有了selinux的保護,入侵的也只有服務本身,整個伺服器的最高許可權依然還健在。比如黑客入侵了apache伺服器,也只是入侵了httpd這個服務,可以把它禁錮到這裡,而系統的整個許可權依然正常。
mac (mandotor access control) 對訪問控制徹底化,對所有的檔案,目錄,埠的訪問,都是基於策略設定的,這些策略都是由管理員設定的,一般使用者無許可權管理和更改。
rbac(role base access control) 對使用者只賦予最小許可權,對於使用者來說,被劃分一些role,即使是root使用者,你要是不在sysadm_r裡,也不能實行sysadm_t的管理操作
te(type enforcement)對程序只賦予最小執行許可權,te的概念在selinux中非常重要,其特點是對檔案賦予乙個type的標籤型別,對程序賦予乙個叫domain的標籤,可以規定某個標籤程序只能執行某類檔案,例如程序vim ,只可以讀標籤為t1的檔案。
enforcing #強制模式,只要selinux不允許,就無法執行
permissive #警告模式,你可以執行,但你所做事件全部記錄
subject(應用或程序)試圖訪問乙個object(檔案,目錄或埠),需要經過sellinux,selinux會查詢策略資料庫,允許或拒絕,拒絕的日誌/var/log/messages
vim /etc/sysconfig/selinux #編輯selinux配置檔案
selinux=enforcing #啟用selinux,啟用後需要重啟系統,初次開啟,需要更新檔案標籤,耗時。
getenforce #檢視當前selinux的執行模式
setenforce 0 #切換為 permissive 警告模式
setenforce 1 #切換為 enforcing 強制模式
應用程式或程序試圖訪問乙個檔案目錄或埠的時候,需要經過selinux,selinux會查詢規則資料庫,允許或拒絕。
selinux域:限制了服務的功能,selinux安全上下文:確保資源只被所屬的服務進行訪問。
例如黑客黑掉了乙個nginx服務,因為selinux的規則策略保護,他只是入侵了nginx的服務,而整個系統許可權依然正常。
selinux 有2種執行模式,一種是enforcing強制模式,只要selinux規則不允許的,就不能執行,一種是permissive警告模式,可以執行,但所做事件全部記錄。
檢視SELinux狀態 關閉SELinux
1.1 getenforce 1.2 usr sbin sestatus current mode表示當前selinux防火牆的安全策略 root localhost usr sbin sestatus selinux status enabled selinuxfs mount sys fs se...
檢視SELinux狀態
檢視selinux狀態 1 usr sbin sestatus v 如果selinux status引數為enabled即為開啟狀態 selinux status enabled 2 getenforce 也可以用這個命令檢查 關閉selinux 1 臨時關閉 不用重啟機器 setenforce 0...
檢視SELinux狀態
1 usr sbin sestatus v 如果selinux status引數為enabled即為開啟狀態 selinux status enabled 2 getenforce 也可以用這個命令檢查 關閉selinux 1 臨時關閉 不用重啟機器 setenforce 0 設定selinux 成...