|簡體中文

比思論壇

 找回密碼
 按這成為會員
搜索



查看: 991|回復: 4
打印 上一主題 下一主題

selinux简介

[複製鏈接]

25

主題

0

好友

144

積分

小學生

Rank: 2

  • TA的每日心情

    2015-9-9 16:11
  • 簽到天數: 1 天

    [LV.1]初來乍到

    推廣值
    0
    貢獻值
    0
    金錢
    1739
    威望
    144
    主題
    25
    樓主
    發表於 2015-9-9 16:54:20

    SElinux在linux内核级别上提供了一个灵活的强制访问控制系统(MAC),这个强制访问控制系统是建立在自由访问控制系统(DAC)之上的。
    DAC是指系统的安全访问控制都是由系统管理员root自由管理的,不是系统强制行为MAC运行的时候,比如一个应用程序或者一个线程以某个用户UID或者SUID运行的时候同样对一些其他的对象拥有访问控制限制,比如文件,套接子(sockets)或者其他的线程通过运行SElinux
    MAC内核可以保护系统不受到恶意程序的侵犯,或者系统本身的bug不会给系统带来致命影响(把影响限定在一定范围内)SElinux为每一个用户,程序,进程,还有文件定义了访问还有传输的权限。然后管理所有这些对象之间的交互关系。
    对于SELinux设定的对象全限是可以根据需要在安装时候规定严格程度,或者完全禁用
    在大多数情况下,SElinux对于用户来说是完全透明的,普通用户根本感觉不到Selinux的存在,只有系统管理员才需要对这些用户环境,以及策略进行考虑。这些策略可以按照需要宽松的部署或者应用严格的限制,Selinux提供了非常具体的控制策略,范围覆盖整个linux系统
    比如,当一个对象如应用程序要访问一个文件对象,内核中的控制程序检查访问向量缓存(AVC),从这里寻找目标和对象的权限,如果在这里没有发现权限定义,则继续查询安全定义的上下关联,以及文件权限,然后作出准许访问以及拒绝访问的决定。如果在var/log/messages出现avc:
    denied信息,则表明访问拒绝。
    目标和对象通过安装的策略来决定自身的安全关联,同时这些安装的策略也负责给系统产生安全列表提供信息。
    除了运行强制模式以外,SELinux可以运行在许可模式,这时候,检查AVC之后,拒绝的情况被记录。Selinux不强制使用这种策略.
    以下介绍一下SELinux相关的工具
    /usr/bin/setenforce 修改SELinux的实时运行模式
    setenforce 1 设置SELinux 成为enforcing模式
    setenforce 0 设置SELinux 成为permissive模式
    如果要彻底禁用SELinux 需要在/etc/sysconfig/selinux中设置参数selinux=0
    ,或者在/etc/grub.conf中添加这个参数
    /usr/bin/setstatus -v
    察看系统的状态
    以下是运行输出,请参考
    SELinux status: enabled
    SELinuxfs mount: /selinux
    Current mode: enforcing
    Policy version: 18

    不重启关闭selinux的解决办法:
    执行命令:setenforce 0
    在新版本中的Red Hat 和 Fedora 上,修改档案/etc/sysconfig/selinux:
    # This file controls the state of SELinux on the system.
    # SELINUX= can take one of these three values:
    # enforcing - SELinux security policy is enforced.
    # permissive - SELinux prints warnings instead of enforcing.
    # disabled - SELinux is fully disabled.
    SELINUX=enforcing

    # SELINUXTYPE= type of policy in use. Possible values are:
    # targeted - Only targeted network daemons are protected.
    # strict - Full SELinux protection.
    SELINUXTYPE=targeted

    把 SELINUX设定为disable, 下次启动系统后将会停止SElinux。
    Linux核心参数(Kernel Parameter)

    或者可以在核心参数后加上: selinux=0 (停止) 或 selinux=1 (开启)参数

    档案/boot/grub/menu.lst

    title Fedora Core (2.6.18-1.2798.fc6)
      root (hd0,0)
      kernel /vmlinuz-2.6.18-1.2798.fc6 ro root=LABEL=/ rhgb quiet selinux=0
      initrd /initrd-2.6.18-1.2798.fc6.img

    检查SELinux现时况态

    要知到你现在是否使用 SELinux:

    # getenforce
    disabled


    3

    主題

    10

    好友

    2279

    積分

    大學生

    Rank: 6Rank: 6

  • TA的每日心情
    擦汗
    2024-5-24 09:35
  • 簽到天數: 1157 天

    [LV.10]以壇為家III

    推廣值
    4
    貢獻值
    0
    金錢
    7863
    威望
    2279
    主題
    3

    簽到勳章 簽到達人

    沙發
    發表於 2015-10-3 09:19:59
    原来如此

    0

    主題

    0

    好友

    385

    積分

    中學生

    Rank: 3Rank: 3

  • TA的每日心情
    擦汗
    3 天前
  • 簽到天數: 215 天

    [LV.7]常住居民III

    推廣值
    0
    貢獻值
    0
    金錢
    1359
    威望
    385
    主題
    0
    板凳
    發表於 2016-1-5 16:07:41
    学习学习,装有selinux,但从未用过
    重要聲明:本論壇是以即時上載留言的方式運作,比思論壇對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本論壇受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們比思論壇有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ),同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。

    手機版| 廣告聯繫

    GMT+8, 2024-11-1 07:00 , Processed in 0.016682 second(s), 15 queries , Gzip On, Memcache On.

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc.

    回頂部