SELinux:Security Enhanced Linux。SELinux 是 NSA(美国国家安全局)开发设计,整合到 Linux 内核中的一个模块。

0. 基本概念

  • DAC(Discretionary Access Control),自主访问控制,传统的文件权限和账号关系;

    系统账号主要分为系统管理员(root)与一般用户,这两种身份能否使用系统上面的文件资源则与 rwx 的权限设置有关。自然各种权限设置对 root 是无效的。因此,当某个进程想要对文件进行访问时,系统就会根据该进程的所有者、用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。这种访问文件系统的方式呗称为“自主访问控制”(DAC),基本上就是依据进程的所有者与文件资源的 rwx 权限来决定有无访问的能力。

  • MAC(Mandatory Access Control),强制(委托)访问控制,以策略规则制定特定程序读取特定文件;

    MAC 可以针对特定的进程特定的文件资源来进行权限的控制,即使是 root,在使用不同的进程时,所能取得的权限不一定是 root,而是要看当时该进程的设置而定。如此一来,我们针对控制的“主体”编程了“进程”而不是“用户”。

1. SELinux 的运行模式

SELinux 通过 MAC 的方式来控管进程,其控制的主体(subject)是进程,而目标(object)则是该进程能否读取的“文件资源”,即其重点在于主体如何取得目标的资源访问权限。

2. SELinux 的启动、关闭与查看

并非所有的 linux distributions 都支持 SELinux。CentOS 5.x 本身就支持 SELinux,因 SELinux 是一种 linux 内核模块,因此无需自行编译 SELinux 到 Linux 内核中。

# getenforce

Enforcing

            # SELinux 支持三种模式,分别如下:

                enforcing:强制模式,代表 SELinux 正在运行中,已经开始限制 domain(主体程序,subject)/type(文件资源 object) 了

                permissive:容许模式,代表 SELinux 正在运行中,不过仅会有警告信息并不会实际限制 domain/type 的访问,用于 SELinux 的调试;

                disabled:SELinux 未运行;

# sestatus

            # 列出目前的 SELinux 的策略(policy)

# vim /etc/selinux/config   # selinux 配置文件

            SELINUX=enforcing,调整 enforcing|permissive|disabled

            SELINUXTYPE=targeted,目前仅有 targeted 与 strict

最新文章

  1. Asp.Net运行于32/64模式下的性能差异
  2. odbc错误信息一览表
  3. Mysql存储日期类型用int、timestamp还是datetime?
  4. 全文检索引擎Solr系列—–全文检索基本原理
  5. OpenXml操作Word的一些操作总结.无word组件生成word.
  6. How Many Fibs_hdu_1316(大数).java
  7. MDK —— configuration wizard
  8. sgu To xor or not to xor
  9. .net 配置文件 分析 EntityName 时出错
  10. asp.net 开发 sql server 转 oracle
  11. BFS POJ2251 Dungeon Master
  12. javascript深入浅出——学习笔记(包装对象和类型检测)
  13. 【ASP.NET Core】在CentOS上安装.NET Core运行时、部署到CentOS
  14. 2018上C语言程序设计(高级)作业- 第3次作业成绩
  15. Windows 10 IoT Core 17127 for Insider 版本更新
  16. 自制操作系统Antz(5)——深入理解保护模式与进入方法
  17. Jmeter压力测试工具安装及使用教程
  18. 一个困扰了我N久的bug , android.enableAapt2=false 无效
  19. 2018秋季C语言基础课第1次作业
  20. 虚幻4随笔 三 从UE3到UE4

热门文章

  1. BZOJ 3926: [Zjoi20150]诸神眷顾的幻想乡
  2. Android: java.lang.ClassCastException: android.widget.imageView cannot be cast to android.widget.textView异常解决
  3. 多边形之战(bzoj 2927)
  4. [NOIP2001] 普及组
  5. 【HDOJ6298】Maximum Multiple(数论)
  6. 【BZOJ1061】志愿者招募(单纯形,对偶性)
  7. windows下的asp.net core开发及docker下的发布
  8. Piggy-Bank--hdu1114(完全背包)
  9. maven之基础
  10. Win7 丢失MSVCR110.DLL的解决办法