“SELinux原理”的版本间的差异
来自CloudWiki
(创建页面,内容为“文件:范例.jpg”) |
|||
(未显示同一用户的2个中间版本) | |||
第1行: | 第1行: | ||
− | [[文件: | + | '''SELinux的基本概念''' |
+ | SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,是Linux上最杰出的新安全子系统。 | ||
+ | NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件 | ||
+ | |||
+ | '''SELinux的介绍''' | ||
+ | SELinux是一组可确定哪个进程能访问文件、目录、端口等的安全规则 | ||
+ | oSELinux标签有若干上下文,最关注类型上下文 | ||
+ | SELinux的目标是保护用户数据免受已泄露的系统服务的威胁 | ||
+ | |||
+ | '''SELinux模式''' | ||
+ | 强制模式:Enforcing | ||
+ | 许可模式:Permissive | ||
+ | 禁用模式:Disabled | ||
+ | |||
+ | [[文件:ll.png]] | ||
+ | |||
+ | |||
+ | '''显示和修改SELinux模式''' | ||
+ | 修改letclsysconfiglselinux文件 | ||
+ | 显示当前SELinux模式:getenforce | ||
+ | 修改当前SELinux模式:setenforce | ||
+ | |||
+ | '''显示和修改SELinux文件上下文''' | ||
+ | 查看进程的SELinux上下文:ps -axZ | ||
+ | 查看交件的SELinux上下文:ls -lZ | ||
+ | 修改文件的SELinux上下文: | ||
+ | chcon -t上下文类型文件名 | ||
+ | |||
+ | '''管理SELinux布尔值''' | ||
+ | SELinux布尔值是更改SELinux策略行为的开关 | ||
+ | SELirRx布尔值是可以启用或者禁用的规则 | ||
+ | 显示布尔值:getsebool-a | ||
+ | 修改布尔值:setsebool-类型on|off | ||
+ | |||
+ | 临时修改 | ||
+ | setenforce 0 | ||
+ | 设置策略行为为permissive | ||
+ | setenforce 1 | ||
+ | 设置策略行为为enforcing | ||
+ | getenforce | ||
+ | 显示行为策略状态 | ||
+ | |||
+ | 永久设置 | ||
+ | vim /etc/selinux/config | ||
+ | 修改为SELINUX=permissive/enforcing |
2020年9月19日 (六) 09:08的最新版本
SELinux的基本概念 SELinux(Security-Enhanced Linux)是美国国家安全局(NSA)对于强制访问控制的实现,是Linux上最杰出的新安全子系统。 NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件
SELinux的介绍 SELinux是一组可确定哪个进程能访问文件、目录、端口等的安全规则 oSELinux标签有若干上下文,最关注类型上下文 SELinux的目标是保护用户数据免受已泄露的系统服务的威胁
SELinux模式 强制模式:Enforcing 许可模式:Permissive 禁用模式:Disabled
显示和修改SELinux模式 修改letclsysconfiglselinux文件 显示当前SELinux模式:getenforce 修改当前SELinux模式:setenforce
显示和修改SELinux文件上下文 查看进程的SELinux上下文:ps -axZ 查看交件的SELinux上下文:ls -lZ 修改文件的SELinux上下文: chcon -t上下文类型文件名
管理SELinux布尔值 SELinux布尔值是更改SELinux策略行为的开关 SELirRx布尔值是可以启用或者禁用的规则 显示布尔值:getsebool-a 修改布尔值:setsebool-类型on|off
临时修改 setenforce 0 设置策略行为为permissive setenforce 1 设置策略行为为enforcing getenforce 显示行为策略状态
永久设置 vim /etc/selinux/config 修改为SELINUX=permissive/enforcing