SELinux

selinux

SElinux：Secure Enhanced Linux，工作于Linux内核中

DAC：自主访问控制

MAC；强制访问控制

SElinux两种工作级别：

strict：每个进程都受到selinux控制；

targeted：仅有限个进程受到selinux控制；

只监控容易被入侵的进程；

subject operation object

subject：进程

object：进程，文件

文件：open，read，write，close，chown，chmod

subject:domain

object:type

SElinux为每个文件提供了安全标签，也为进程提供了安全标签；

user:role:type

user:SElinux的user

role:角色

type:类型

SELinux规则库：

规则：哪种域能访问那种或哪些类型的内文件

配置SELinux

SELinux是否启动：

给文件重新打标：

设定某些布尔型开关：getsebool -a

SELinux的状态：

enforcing：强制，每个受限的进程必须受限；

permissive：启用，每个受限的进程违规操作不会被禁止，但会被记录到审计日志中。

disabled：关闭；

如果当前系统是disabled，如果启用为enforcing或者permissive必须重启

getenforce:查看当前状态

setenforce：设置状态

0：设置为permissive

1：设置为enforcing

此设定：重启系统后无效。

配置文件：/etc/sysconfig/selinx, /etc/selinux/config

给文件重新打标；

chcon 

chcon [OPTION]... CONTEXT FILE...

chcon  [OPTION]...  [-u  USER]  [-r  ROLE] [-l RANGE] [-t

TYPE] FILE...

chcon [OPTION]... --reference=RFILE FILE...

-R 递归打标

chcon -t user_tmp_t home.txt

还原文件的默认标签：

restorecon

restorecon home.txt

布尔设置：

getsebool -a

getsebool httpd_can_sendmail

setsebool httpd_can_sendmail on/1 

setsebool httpd_can_sendmail off/0

setsebool -P httpd_can_sendmail on/1-P永久有效

cat /var/log/audit/audit.log selinux警告日志

     本文转自阿伦艾弗森 51CTO博客，原文链接http://blog.51cto.com/perper/1953683：，如需转载请自行联系原作者