安全加強的linux

SELinux：Security Enhanced Linux  安全加強的linux

DAC àMAC  

DAC：自主通路控制 （Discretionary  Access  Control ）每個使用者可以随意修改自己的檔案權限                  

MAC：強制通路控制 （Mandatory  Access  Control）  把權限都定義在sandbox中

C2à B1   C2  C1  B3  B2  B1  A1

（ls -Z 檢視檔案 及其安全上下文，統稱标簽）  id -Z顯示目前使用者類型

SELinux  Policy ：selinux政策   定義檔案在/etc/selinux/targeted/policy下policy.21

strict： 嚴格級别        targeted：挑選性定制程序進行限定 其他對自身沒影響的就不限定了

selinux就采用的是targeted這種類型      unconfined_d：未定義的類型

getsebool -a 顯示所有的布爾值     布爾：在限定使用者權限時定義的值（在sandbox中）

getenforce 檢視目前selinux功能是否打開

在/etc/selinux/config=/etc/sysconfig/selinux中定義預設targeted類型 也定義selinux啟用類型   

setenforce  1|0 設定selinux工作模式 1表示enforcing  0表示permissive 臨時起效

在/etc/grub.conf設定selinux是否啟用 0表示不啟用 1表示啟用 在核心後面加selinux 0|1

登入進來的身份标志有三種：root  user_u表示普通使用者  system_u表示程序

semanage  fcontext  -l 列出所有檔案可以使用的背景标簽

改檔案标簽：chcon : change context   -t用于改變檔案标簽中的類型  -R遞歸修改，把一個目錄及其子目錄中的檔案全部修改   --reference 把一個檔案标簽複制到一個檔案上去

例如：chcon --reference=fstab httpd.crt 以fstab檔案類型為标準把另個檔案改為和他一樣的類型

restorecon 後跟檔案名 表示恢複檔案的預設标簽類型   -R（-r）表示遞歸修改檔案的标簽

setsebool 後跟檔案名 on|off 打開或者關閉某個檔案的布爾值 但隻是臨時生效 

在setsebool後加-P表示持久修改有效