目錄(持續(xù)更新)
基礎(chǔ)-第0章-安裝
基礎(chǔ)-第1章-基本操作
基礎(chǔ)-第2章-磁盤及文件系統(tǒng)管理
基礎(chǔ)-第3章-獲得幫助
基礎(chǔ)-第4章-用戶及權(quán)限基礎(chǔ)
基礎(chǔ)-第5章-網(wǎng)絡(luò)基本配置
基礎(chǔ)-第6章-管道健芭,重定向及文本處理
基礎(chǔ)-第7章-系統(tǒng)啟動詳解
進(jìn)階-第1章-日志服務(wù)
進(jìn)階-第2章-DNS域名服務(wù)器
進(jìn)階-第3章-FTP文件共享服務(wù)
進(jìn)階-第4章-NFS文件共享服務(wù)
進(jìn)階-第5章-SMB文件共享服務(wù)
進(jìn)階-第6章-WEB服務(wù)Apache篇
進(jìn)階-第7章-電子郵件服務(wù)
進(jìn)階-第8章-Linux服務(wù)基礎(chǔ)及管理
高級-第1章-LVM邏輯卷
高級-第2章-高級權(quán)限ACL
高級-第3章-RAID提升速度及冗余
高級-第4章-高級網(wǎng)絡(luò)-網(wǎng)卡綁定若贮,子端口
高級-第5章-SELinux安全系統(tǒng)基礎(chǔ)
高級-第6章-IPTable防火墻基礎(chǔ)
高級-第7章-Linux遠(yuǎn)程管理-SSH谴麦、VNC
第5章 SELinux安全系統(tǒng)基礎(chǔ)
第一節(jié)
SELinux
SELinux 安全增強 NSA針對計算機結(jié)構(gòu)安全開發(fā)的全新安全策略機制匾效,允許管理員更靈活定義安全策略
SELinux是一個內(nèi)核安全機制 2.6內(nèi)核后集成在內(nèi)核里
主流Linux發(fā)行版都有集成SELinux CentOS/RHEL默認(rèn)開啟
內(nèi)核機制面哼,一切內(nèi)核級修改都需要重啟
SELinux基本概念
所有安全機制是對兩樣?xùn)|西做出限制
進(jìn)程和系統(tǒng)資源(文件扫步,網(wǎng)絡(luò)套接字,系統(tǒng)調(diào)用等)
SELinux 針對這兩種類型定義兩個基本概念:域domain 上下文context
域?qū)M(jìn)程限制
上下文針對系統(tǒng)資源
命令ps -Z 查看進(jìn)程的域
命令ls -Z 查看文件上下文
策略
SELinux通過定義策略來控制哪些進(jìn)程訪問哪些文件
很對預(yù)制策略闯袒,我們通常不需要定義策略
CentOS 預(yù)訂target策略
target定義了只有目標(biāo)進(jìn)程收到SELinux限制政敢,其他進(jìn)程運行在非限制模式下
只影響網(wǎng)絡(luò)服務(wù)程序
CentOS受限制的網(wǎng)絡(luò)服務(wù)在200個左右
工作模式
強制(enforcing)
違反策略的動作都被禁止 并作為內(nèi)核信息記錄
允許(permissive)
違反策略的行動都不禁止 但是會產(chǎn)生警告信息
禁用(disabled)
禁用SELinux與不帶SELinux功能的系統(tǒng)一樣
配置文件為/etc/sysconfig/selinux
SELINUX=permissive
命令getenforce可查看當(dāng)前SELinux工作狀態(tài)
getenforce
命令setenforce可以設(shè)置當(dāng)前SELinux工作狀態(tài)
setenforce[0|1]
setenforce 0
setenforce 1
策略 域 上下文
命令 ps ls 加入-Z 參數(shù)可顯示對應(yīng)的SELinux信息
system_u : object_r : httpd_exec-t : s0
用戶 :角色 :類型 :MLS MCS
策略規(guī)定進(jìn)程可訪問的文件
管理系統(tǒng)堕仔,文件操作會改百年文件愛你上下文,倒是進(jìn)程無法訪問
需要檢查修改文件的上下文
命令 restorecon可以用于恢復(fù)文件默認(rèn)的上下文
restorecon -R -v /var/www
命令chcon可以用以改變文件上下文
chcon --reference=/etc/named.conf.orig /etc/named.conf
