admin 管理员组文章数量: 1184232
2024年4月18日发(作者:springcloud配置中心zuul)
Linux安全中阶教程之SEIinux(适合有一定水平的管理员)一:SElinux(安全增强linux
简介)
1:使用SElinux可以将进程放入在特定的SElinux域,同时赋予系统上的资源(如文件,
网络套接字,系统调用等)SElinux上下文。装入SElinux的策略(通常作为系统启动过
程的一部分),然后决定哪个进程域可以访问哪些资源上下文。
2:在红帽企业版linux5中,有关SElinux的选择有下面几种:
(1)
我是否需要启用SElinux
(2)
一旦启用,我需要SElinux处于允许(permissive)还是强制(enforcing)状态。
(3)
我需要在文件上赋予什么样的SElinux上下文。
3:在实际工作中,红帽企业版linux5支持一种SElinux策略,叫目标策略(targeted).
这个策略在大多数应用之中。在目标策略之中,只有目标进程受到SElinux的影响。而其
他进程运行在非限制模式下。目标策略只影响常用的网络应用程序。受到限制的服务在
200个以上,有增加的趋势。SElinux限制的典型应用程序如下:
(1)
dhcp
(2)
httpd
(3)
mysqld
(4)
named
(5)
nscd
()
(6)
ntpd
()
(7)
portmap
(8)
postgres
()
(9)
snmpd
()
(10)
squid
(11)
syslogd
4:启用SElinux
/etc/sysconfig/selinux
setenforce
getenforce
/etc/sysconfig/selinux
⑴
强制(enforcing):任何违法SElinux的操作都被禁止。
⑵
允许(permissive):任何违反SElinux的操作都会受到一个警告信息。但是行动可以继续。
⑶
停用(disabled):不启用SElinux策略。
Setenforce和getenforce命令
Setenforce0/1
0表示允许;1表示强制
Getenforce
查看当前SElinux的状态。
5:查看SElinux上下文
使用命令ps-Z和ls-Z
每个进程都属于个SElinux域;
每个文件都被赋予一个SElinux上下文。
相关的域和上下文可以使用ls和ps命令的命令选项-Z来显示
进程SElinux域和SElinux上下文,具有以下格式:
System_u:object_r:httpd_exec:s0
说明:
上面的字段以冒号作为分隔符,
第一个字段:用户
第二个字段:角色
第三个字段:类型
第四个字段:与MLS,MCS有关
说明:
SEliunx目标策略只于第三个字段有关,即类型字段(TYPE).
二:SElinux介绍
SElinux是美国国家安全局为linux系统设计的一项开放源码项目,主要是希望将其作为
系统的最后一道防线,来抵御黑客的攻击和入侵系统。
1.
常见的读取控制
1.1
DAC(DiscretionaryAccessControl)”任意式读取控制”。在DAC的架构下,每个对像都会
记录一个拥有者的信息。只要是对象的拥有者,就可以获得该对象的完全控制权限oDAC允
许拥有者完全权限。其他需要读取该对象时候,必须授予适当的权限。但是每个对象仅有一
组拥有者的信息,如果需要更复杂的读取控制能力,必须使用ACL。ACL的全名是“访问控
版权声明:本文标题:Linux安全中阶教程之SElinux(适合有一定水平的管理员) 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1713441630a634854.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论