selinux是美國國家安全局對linux安全一種增強機制。linux是一切皆檔案而selinux是一切皆對象,我們主要操作的對象,一般有檔案,端口;selinux還有一個開啟某個selinux特性的開關sebool。
一 selinux的開啟與模式
selinux的模式是在/etc/selinux/conf檔案中配置,同時這個檔案也提供selinux的開啟與關閉。配置檔案的格式:
selinux有四種工作類型:
strict: centos5,每個程序都受到selinux的控制
targeted: 用來保護常見的網絡服務,僅有限程序受到selinux控制,隻監控容易被入侵的程序, rhel4隻保護13個服務,rhel5保護88個服務(tartgeted是以包容模式運作的,就是說沒有定義的可以運作,定義才限制)
minimum: centos7,修改過的targeted,隻對選擇的網絡服務
mls:提供mls(多級安全)機制的安全性
minimum和mls穩定性不足,未加以應用
二檢視selinux權限
檢視檔案的selinux權限
三設定selinux權限
指定檔案的selinux權限
檢視預設的安全上下文
添加安全上下文
删除安全上下文
檢視端口标簽
添加端口
删除端口
修改現有端口為新标簽(隻能修改正在使用的端口)
四設定布爾型
布爾型規則:
檢視bool指令:
設定bool值指令:
五selinux日志管理
六安裝selinux的man文檔
記住所有的selinux權限格式是很難的,我們需要selinux的幫助文檔,服務的man文檔不帶selinux權限設定幫助,這裡我們需要裝selinux的幫助文檔,
總結
這一節内容不是很重要,服務出了問題我們一定要想着selinux對服務的影響。主要記住semanage添加目錄selinux權限,并使用restorecon使selinux權限生效,或者打開sebool;出了問題使用sealert檢視selinux的報錯資訊;不會的查詢selinux的man文檔。