selinux
訪問控制
DAC:任意訪問控制
MAC:強制訪問控制
MAC爲系統中所有的進程分配了標籤,每個系統資源也有標籤,使用者通過編寫規則控制某個資源的訪問。
使用MAC的原因
1.軟件有缺陷,需要安全模塊補充
2.MAC可以和DAC並行運行,兩者同時生效,不衝突。
3.MAC的規則非常靈活,可以按需配置。
Selinux 工作原理
類型強制 根據進程與對象的標籤類型,來判斷某個進程是否有權讀取相應的對象。
多類別安全 (MCS強制) 對多個同類進程設置不同的標籤,以此區分。
配置Selinux
1.安全上下文 用戶,角色,類型 普通用戶登錄系統預設的:user_u 管理員登陸後系統預設的:root 開機過程中系統進程的預設:system_u
相關命令
chcon [-R] [-t type] [-u user] [-r role] 文件
選項與參數:
-R:連同該目錄下的次目錄也同時修改; -t:後面接安全性本文的類型字段 -u:後面接身份識別,例如system_u -r:後面接角色,例如system_r;
restorecon 還原成原有的selinux type 格式:restorecon [ -RV] 檔案或目錄
選項與參與:
-R:連同次目錄一起修改; -v:將過程顯示到屏幕上
命令 chcon 設置安全上下文 restorecon 回覆默認安全上下文
getsebool -a 命令列出系統中的selinux布爾值 /selinux/booleans
setsebool 命令用來改變selinux布爾值 on/off