SELinux有四種工作類型:
- .strict: centos5, 每個進程都受到selinux 的控制
- . targeted: 用來保護常見的網絡服務, 僅有限進程受到selinux 控制掠手,只監(jiān)控容易被入侵的進程几晤,centos4 只保護13個服務,centos5 保護
- . minimum :centos7, 修改的targeted ,只對選擇的網絡服務
- .mls: 提供MLS (多級安全)機制的安全性
- 該文件定義了的開啟關閉及類型(下面6)
[root@chenxi ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.強制生效
# permissive - SELinux prints warnings instead of enforcing 允許但譴責
.# disabled - No SELinux policy is loaded.不過
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted 工作類型的定義
- 傳統(tǒng)Linux一切皆文件,由用戶,組,權限控制訪問
- 在SELinux 中,一切 皆 對象( (object )雹有, 由 存放在 在inode的擴展屬性域的安全元素所控制 其訪問
- 所有文件和端口資源和進程都 具備安全標簽: 安全上下文(security context)
- 安全上下文有五個元素組成
- user:role:type:sensitivity:category
- user_u:object_r:tmp_t:s0:c0
- 實際上下文:存放在文件系統(tǒng)中,ls –Z;ps –Z
- 期望( 默認) 上下文 :存放在二進制的SELinux 策略庫(映射目錄和期望安全上下文)中
semanage fcontext –l - 查看
類型
此標簽表示多個程序對文件可讀寫
查看狀態(tài)是否開啟
[root@centos6 linux-3.16.45]# getenforce
Enforcing表示開啟
臨時禁用
- 顯示更詳細的信息
- 策略存放目錄
-
創(chuàng)建一個臨時文件
- 更改標簽
- 查看某文件的默認標簽
恢復默認標簽策略
- 給自己新建的目錄加標簽至標簽庫臼寄;更改的是標簽庫
遞歸恢復
