概念:
安全增强型 Linux(Security-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。
SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。
SELinux 的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多 Linux 系统管理员嫌麻烦都把 SELinux 关闭了。
如果可以熟练掌握 SELinux 并正确运用,我觉得整个系统基本上可以到达"坚不可摧"的地步了(请永远记住没有绝对的安全)。
SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。
作用:
seLinux的目的是对程序读取文件进行权限的控制,即便你chmod 777,如果不符合seLinux的规则,那么程序同样无法访问目标文件。
selinux控制访问的规则定义在策略中,程序和目标资源都有各自的安全上下文(security context),只有双方的安全上下文符合策略中的规定时才能够成功访问。
seLinux安全上下文 由冒号分隔的四个字段组成,其中最重要的是第三个, 称为 类型字段 。
修改seLinux规则需要用到的主要命令有 chcon restorecon setsebool。
如果程序因为seLinux的原因导致了访问目标资源失败,往往会在下面两个日志中有所体现。
/var/log/messages 和 /var/log/audit/audit.log ,按照相应提示定位修改即可。
seLinux的初步认识就是这样了,我的最直白的理解就是seLinux通过对比程序和目标资源的安全上下文来决定是否可以成功访问。
selinux配置文件在 /etc/selinux/config 里,可以修改对应的规则,一般建议还是关闭吧。。。。。。
Comments NOTHING