1谐区、SELinux

A、認識SELinux
    Security Enhanced Linux的縮寫逻卖，安全強化的Linux之意宋列，是在進行程序、文件權(quán)限設(shè)置依據(jù)的一個內(nèi)核模塊评也。
    自主訪問控制（DAC）：    基于傳統(tǒng)文件權(quán)限與賬戶關(guān)系的機制炼杖，root擁有最高權(quán)限，用戶可以取得進程更改文件資源權(quán)限
    強制訪問控制（MAC）：   以策略規(guī)則制定特定程序讀取特定文件盗迟，更加細化坤邪，限制經(jīng)常活動空間
B罚缕、運行模式
    主體（= 進程）
    目標（= 文件系統(tǒng)）
    策略
        默認策略：    只針對網(wǎng)絡(luò)服務限制較為嚴格艇纺，本地服務限制較少；
        強制策略：    完整版策略邮弹，限制較嚴格
    安全上下文
        使用ls -Z查看黔衡，由三個字段組成：
        身份標識：    root、system_u腌乡、user_u
        角色：    object_r盟劫、system_r
        類型：（最重要）    type、domain

40983ecf-3ae8-4d01-becd-29f36f49f687.jpg

C与纽、啟動侣签、關(guān)閉與查看
查看： getenforce（強制模式、寬容模式急迂、關(guān)閉模式）影所、sestatus（策略查看）
啟動與關(guān)閉： 需修改配置文件

2、系統(tǒng)服務

A僚碎、服務與Daemon
    實現(xiàn)提供某一個服務的進程就稱為Daemon型檀。
    分類：
        按啟動與管理方式：    stand alone（獨立啟動、反應快）听盖、super daemon（統(tǒng)一管理胀溺、相應較慢）
        安工作形態(tài)：        signal-control（信號驅(qū)動工作）、interval-control（間隔輪詢工作）
    命名規(guī)則：    ｛xxx｝d
    在網(wǎng)絡(luò)中皆看，服務與端口號有對應關(guān)系
    啟動腳本與啟動方式
        /etc/init.d/*    啟動腳本
        /etc/sysconfig/*    服務初始化環(huán)境配置文件
        /etc/xinetd.config仓坞、/etc/xinetd.d/*    super domain配置文件
        /etc/*    各服務各自的配置文件
        /var/run/*    各服務程序的PID記錄
        stand alone的啟動：
            service [service name] （start|stop|restart|…）
            service --startus-all    
        super domain的啟動：
            super domain自身的啟動方式還是stand alone方式
B、super domain的配置文件
    默認值配置文件：    xinetd.conf
    default
    ｛
             <attribute>    <assign_op>    <value>
              ……
    ｝
    includedir /etc/inetd.d

    服務自身的配置文件：
    service <service_name>
    ｛
            <attribute>    <assign_op>    <value>    <value>
            ……
    ｝

7b2e92a3-a79f-42c8-91e6-e0e60396367d.png

fe1fcba2-909e-4295-a6ef-71c22affc0d3.png

152993a6-bbf7-4e0c-b4be-25f9f2adb188.png

55e27976-94d0-4359-8775-0a45e9eb8ce7.png

3ed116c4-ccd8-4868-b43c-a09c0d864afe.png

08ee2c32-6060-4ce6-950e-4671d0244780.png

assign_op的取值與含義：
= 就是這樣
+= 給原來的值中加入新值
-= 從原來的值中減去后面的值
C腰吟、服務的防火墻與配置
/etc/hosts.allow无埃、/etc/hosts.deny管理
可以管理任何xinetd管理的服務的防火墻
配置文件語法：
<service (process_name)> : <IP, domain, hostname> : <action>
判定規(guī)則：
允許進入的寫入hosts.allow徙瓶；
禁止進入的寫入hosts.deny;
hosts.allow的優(yōu)先級高于hosts.deny；
其他可配關(guān)鍵字：
ALL： 代表所有程序或IP嫉称，如ALL:ALL:deny侦镇；
LOCAL： 代表來自本機，如ALL:LOCAL:allow织阅；
UNKNOWN： 代表未知IP壳繁、未知domain、未知服務荔棉；
KNOWN： 代表可解析IP闹炉、可解析Domain；
chkconfig
管理系統(tǒng)服務默認開機啟動與否
chkconfig --list [service name]
chkconfig [--level [0123456]] [service name] [on|off]