selinux 主要作用就是最大限度地減小系統中服務程序可訪問的資源(最小許可權原則),以此提高系統安全性
getenforce命令可檢視selinux的狀態
selinux有三種狀態: enforcing強制 (開啟狀態,禁止訪問);permissive警告(開啟狀態,不禁止訪問,會有警報) ; disabled關閉
selinux的配置檔案:/etc/sysconfig/selinux ,更改設定之後必須重啟才能生效、
setenforce 0 | 1 ##在selinux開啟時修改selinux的狀態 (0:切換至permissive;1:切換至enforcing)切換至root使用者才可操作
安全上下文是乙個訪問控制屬性。在selinux中,型別識別符號是安全上下文中決定訪問的主要的部分
ls -z ##檢查檔案、目錄的安全上下文
修改檔案的安全上下文有兩種方式,以一種是chcon命令,一種是semanage命令。
1)chcon命令
用chcon命令修改檔案安全上下文是臨時的,當selinux關閉再開啟時會恢復原來的安全上下文
2)semanage命令
用semanage命令可以以直接修改檔案的方式永久修改檔案的安全上下文,修改後在系統重啟之後才會生效,或者使用restorecon -rvvf /ftpuserhome/命令使其生效
getsebool -a | grep ftp ##selinux對ftp服務的限制
將selinux狀態修改為enforcing後,列表中顯示為off的功能將受到限制不能使用
將off的開關開啟變為on狀態,則selinux對該功能將不做限制
修改後發現依舊無法上傳,需要把/var/ftp/pub目錄的安全上下文修改為可寫,原本並沒有可寫許可權
對selinux的操作會在audit.log和messages檔案中產生日誌,audit.log檔案中是selinux產生的原始日誌,而messages檔案中有報錯的解決方法,如果解除安裝setroubleshoot-server功能的話也將失去提供解決方法的功能
yum remove setroubleshoot-server
SELinux 核心級加強型火牆
selinux security enhanced linux 是美國 局 nsa 對於強制訪問控制的實現,是 linux歷史上最傑出的新安全子系統。nsa是在linux社群的幫助下開發了一種訪問控制體系,在這種訪問控制體系的限制下,程序只能訪問那些在他的任務中所需要檔案。selinux特點 1.m...
Linux 核心級加強型火牆
檢視 getenforce 開啟後給每個檔案和程式新增標籤 安全上下文 匹配則可以訪問 檔案是功能標籤 程式是加了波爾開關 修改狀態檔案 狀態 enforcing 強制 拒絕訪問,有警告資訊 permissive 警告 可以訪問,有警告資訊 disabled 關閉 切換 setenforce 0 切...
selinux 核心級加強型防火牆
3.監控selinux導致的錯誤資訊 舉例 修改檔案標籤從而在apache通過檔案訪問本地目錄 背景 setenforce 1 開啟selinux 步驟 hostname var www html hello.html date f mnt scq.html mv mnt scq.html var ...