2. 程式人生 > >selinux詳解及配置文件

selinux詳解及配置文件

阿新 發佈:2019-03-28
nfs 禁用selinux 提示 ORC 我們 針對 可能 linux目錄 warn

selinux詳解

selinux 的全稱是Security Enhance Linux,就是安全加強的Linux。在Selinux之前root賬號能夠任意的訪問所有文檔和服務 ;

如果某個文件設為777,那麽任何用戶都可以訪問甚至刪除。 這種方式稱為DAC(主動訪問機制),很不安全。

DAC自主訪問控制: 用戶根據自己的文件權限來決定對文件的操作,也就是依據文件的own,group,other/r,w,x 權限進行限制。Root有最高權限無法限制。r,w,x權限劃分太粗糙。無法針對不同的進程實現限制。

Selinux則是基於MAC(強制訪問機制),簡單的說,就是程序和訪問對象上都有一個安全標簽(即selinux上下文)進行區分,只有對應的標簽才能允許訪問,否則即使權限是777,也是不能訪問的。

在selinux中,訪問控制屬性叫做安全上下文,所有客體(文件、進程間通訊通道、套接字、網絡主機等)和主體(進程)都有與其關聯的安全上下文,一個安全上下文由三部分組成:用戶(u)、角色(r)、和類型(t)標識符。但我們最關註的是第三部分

當程序訪問資源時 ,主體程序必須要通過selinux策略內的規則放行後,就可以與目標資源進行安全上下文的比對,若比對失敗則無法存取目標,若比對成功則可以開始存取目標,最終能否存取目標還要與文件系統的rwx權限的設定有關,所以啟用了selinux後出現權限不符的情況時,你就得一步一步分析可能出現的問題了。

1.selinux狀態查看與配置:

selinux的配置文件位置:/etc/selinux/config,它還有個鏈接在/etc/sysconfig/selinux.

使用config文件來配置selinux(通過配置文件修改selinux的狀態屬於永久修改,要重啟系統才生效)

[root@localhost ~]# ls /etc/sysconfig/selinux  -l
lrwxrwxrwx. 1 root root 17 Jan 10 19:48 /etc/sysconfig/selinux -> ../selinux/config

(1)配置文件

[root@make_blog ~]# cat /etc/sysconfig/selinux

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

selinux=enforcing

#此項定義selinux狀態

#enforcing-是強制模式系統,它受selinux保護。就是違反了策略你就無法繼續操作下去。

#permissive-是提示模式系統不會受到selinux保護,只是收到警告信息。permissive就是selinux有效,但是即使你違反了策略的話它讓你繼續操作,但是把你違反的內容記錄下來(警告信息)

#disabled-禁用selinux

selinuxtype=targeted

#此項定義selinux使用哪個策略模塊保護系統。targeted只對Apache,sendmail,bind,postgresql,nfs,cifs等網絡服務保護。

以上策略配置都放置在/etc/selinux目錄中,目錄和策略名稱相同。

使用selinux相關命令查看和修改狀態:(屬於立即生效但臨時性的)

(2)查看工作狀態

getenforce查看selinux狀態

[root@make_blog ~]# getenforce 
Disabled

setenforce設定selinux運行狀態,1開啟(Enforce),0關閉(Permissive)

[root@localhost datas]# setenforce 
usage:  setenforce [ Enforcing | Permissive | 1 | 0 ]

[root@localhost ~]# setenforce  0
[root@localhost ~]# getenforce 
Permissive
[root@localhost ~]# setenforce 1
[root@localhost ~]# getenforce 
Enforcing

相關鏈接:https://blog.csdn.net/kangshuo2471781030/article/details/79294506

selinux詳解及配置文件

相關推薦

selinux配置

nfs 禁用selinux 提示 ORC 我們 針對 可能 linux目錄 warn selinux詳解 selinux 的全稱是Security Enhance Linux,就是安全加強的Linux。在Selinux之前root賬號能夠任意的訪問所有文檔和服務 ; 如

0 httpd2.2配置-Apache配置-(二)

切換 more 簡化 css 程序 ip地址 在服務器 filter utf httpd-2.2 15 curl命令 curl是基於URL語法在命令行方式下工作的文件傳輸工具,它支持FTP, FTPS, HTTP, HTTPS, GOPHER,

log4j配置參數——按日誌大小、日期切分日誌

日誌文件 個數 位置 -h rac windows 基本配置 src index 項目中盡管對log4j有基本的配置,例如按天生成日誌文件以作區分,但如果系統日誌文件過大,則就需要考慮以更小的單位切分或者其他切分方式。下面就總結一下log4j常用的配置參數以及切分

ELK日誌平臺----配置

elk日誌分析平臺本文記錄了三個配置文件:第一個:all.conf 通過一個配置文件,配置輸入輸出,實例;第二個:shipper.conf配置logstash收集日誌內容到redis裏;第三個:indexer.conf配置logstash從redis裏讀取日誌內容輸出到Elasticsearch裏。第二個跟第

Linux(centos 6.5) 調用java腳本以及定時運行的腳本實例配置具體解釋

-name entos profile 6.0 主函數 lan 默認 java類 屬性 Linux(centos 6.5) 調用java腳本以及定時運行的腳本實例 一、調用java程序腳本(默認已經搭建好了Java環境) 1、jdk 安裝路徑 /usr/jdk

shell腳本執行配置

bashlinux之shell腳本執行及配置文件bash腳本執行方法: 1 解釋器直接運行 /usr/bin/bash bash FOO.sh 2 使用路徑運行腳本(需要有x權限) chmod +x FOO.sh /PATH/TO/FOO.sh

bash腳本編程基礎配置

命令 ++ 語言 new 直接 pytho per 系統 行編輯器 (一)shell腳本編程 編程語言的分類: 根據運行方式: 編譯運行 解釋運行 根據編程過程中功能的實現是調用庫還是調用外部的程序文件: shell腳本編程:利用系統上的命令及編程組件進行編程

AngularCLI介紹配置主要參數含義解析

prefix 域名 最佳實踐 netem cin 存儲 ng- idt 還需 使用Angular CLI可以快速,簡單的搭建一個angular2或angular4項目,是只要掌握幾行命令就能構建出前端架構的最佳實踐,它本質也是使用了webpack來編譯,打包,壓縮等構建的事

搭建基於hyperledger fabric的聯盟社區(三) --生成公私鑰證書配置

ger tput reat cts crypto github 最終 pda 成功 一.生成公私鑰和證書 Fabric中有兩種類型的公私鑰和證書,一種是給節點之前通訊安全而準備的TLS證書,另一種是用戶登錄和權限控制的用戶證書。這些證書本來應該是由CA來頒發,但是目前只有兩

小程序學習筆記二:頁面之 .json

fresh 小程序 整體 屬性 spa hit rbac style mdi 頁面配置文件—— pageName.json 每一個小程序頁面可以使用.json文件來對本頁面的窗口表現進行配置,頁面中配置項會覆蓋 app.json 的 window 中相同的配置

Nginx的stub_status模塊的作用配置修改

accept 相關 onf 效率 and 指令 活動 代碼 重啟 ginx中的stub_status模塊主要用於查看Nginx的一些狀態信息. 本模塊默認是不會編譯進Nginx的,如果你要使用該模塊,則要在編譯安裝Nginx時指定: 復制代碼 代碼如下: ./configu

記錄Centos6.5下安裝vsftp服務配置說明

linux 運維 vsftp 參考文章:http://blog.csdn.net/zwhfyy/article/details/1547454 http://www.linuxidc.com/Linux/2015-06/118442.htmvsftp 的優點:除了安全、高速、穩定之外,vsftpd

Linux學習之路-Nginx(2)安裝配置篇【23】---20180210

Nginx編譯 Nginx yum安裝 主配置文件分析 Core functionality分 一、Nginx的安裝方法及配置介紹1、yum安裝官方: http://nginx.org/packages/centos/7/x86_64/RPMSFedora-EPEL: http

nginx源碼編譯安裝配置說明

nginx源碼安裝nginx源碼編譯安裝 安裝nginx的依賴包(pcre-devel openssl-devel) [root@anuo ~]# yum install pcre-devel openssl-devel -y 創建管理用戶 nginx [root@anuo ~]# useradd -s /s

nfs原理配置

1.0 而是 size 應用程序 roc alt 掛載文件系統 客戶 接受 簡介 工作原理 配置 簡介 NFS(Network File System)即網絡文件系統,它允許網絡中的計算機之間通過網絡共享資源。將NFS主機分享的目錄,掛載到本地客戶端當中,

JDBC中使用Properties類配置的操作

art ole sele exc water 需要 center bool cti 同時發布於:https://blog.csdn.net/Activity_Time/article/details/81149710一、properties配置文件開發中獲得連接的4個參數(

Tomcat安裝應用部署配置解讀

基於 ctp 創建 webapp 查詢 request cto 配置 權限 Tomcat服務器是一個免費的開放源代碼的Web應用服務器,屬於輕量級應用服務器,在中小型系統和並發訪問用戶不是很多的場合下被普遍使用,是開發和調試JSP程序的首選。 Tomcat和Nginx,AP

Tomcat負載均衡原理配置

結構圖 使用Tomcat的童鞋們注意了。為了增加tomcat的效能和穩定性,我們一般採用balance和session同步機制。 下圖列出了我們常用也是最簡單的解決方案。 說明 1 balance 1.1 mod_proxy方式   mod_proxy是一種分工合作的的形式,通過主伺服器跳轉到各臺主

Android自動化打包部署配置

一、需求說明: 因諸多因素影響以及條件的限制,當前我們APP的Android端的打包過是手動通過開發工具打包的;這樣產生的問題是: 一、Android端的APK的產出得依賴開發人員,如果開發人

NAT技術配置例項

Outside local address:外部本地地址,不必是合法地址。當外部網路資料到達內部網路,外部網路中的主機IP地址與內部網路中的主機處在同一網段時,為防止內部主機誤認外部主機與自己在同一網段而廣播ARP請求,造成無法通訊,將外部主機的地址轉換成外部本地地址之後再與內部主機進行通訊。