SELinux（Security Enhanced Linux）FOR RHEL5.X

SElinux (Security Enhanced Linux 安全強化的linux）

關鍵字：DAC、 MAC、 Subject、 Object、 Policy、 Security Context、 Identify(root、system_u、user_u)、 Role(object_r、system_r)、 Type(type、domain)

一般用途：

在DAC的基礎上增強對文件的權限的訪問,主要是針對網絡訪問文件.

SElinux是整合到kernel的一個module,一般使用的RHEL系統的distribution都包括了SElinux直接啟用即可.

具體selinux操作請見下：

具體的selinux支持的三種模式：

enforcing:強制模式

permissive:寬容模式

disabled:關閉selinux

如果要啟用selinux請務必不能配置成disabled.

檢查selinux狀態,用指令getenforce或者查看配置文件/etc/selinux/config相關的具體配置就兩行,SELINUX=enforcing/permissive/disabled,SELINUXTYPE=targeted/strict.

如果要啟用selinux請在linux啟動的時候kernel啟動的時候一定不能在kernel /vmlinuz-2.6.xx-xx.xxx ro root=/dev/xxx 後面有selinux=0出現.不然同樣不能使用selinux.

查看selinux的Policy請用指令sestatus具體參數vb.切換selinux在enforcing和permissive模式之間敬請用setenforce指令,只有兩個數字參數,0、1,分別代表permissive和enforcing.更改selinux的Policy也同樣可以編輯配置文件/etc/selinux/config文件,具體配置請見文件注釋.

怎樣重新設置selinux的安全性文本呢？請用指令chcon具體參數Rtur --reference,具體用法請man或者info或者chcon --help.何為selinux的安全性文本呢？利用ls -Z指令即可查看各文件的selinux安全性文本.

使各文件的selinux安全性文本還原成預設的值,請用指令restorecon,參數Rv.由於文件的複製,或其他的方式導致文件的selinux安全性文本錯誤,導致不可使用.用restorecon即可更改為預設值.

selinux在發生錯誤的時候使用的兩個服務：即setroubleshoot、auditd.setroubleshoot服務的日誌寫入/var/log/message文件,二auditd服務寫入/var/log/audit/audit.log日誌文件.具體的兩個服務只用到的相關指令是sealert和audit2why具體的使用方法請google或者man、info

targeted的Policy使用的規則查看,請用指令seinfo參數Atrub,查詢到相關的類別或者是booleans時,想知道更詳細的規則,請使用sesearch指令,參數atb.查詢所有booleans值的指令getsebool.booleans值的修改請用setsebool指令.具體參數請用“指令 --help”或者使用man、info等.

預設目錄的安全性文本的查詢和修改,請使用指令semanage具體的使用規則請man.

本次使用到的主要指令有：getenforce、sestatus、chcon、restroecon、sealert、audit2why、seinfo、sesearch、getsebool、setsebool、semanage

本文出自 “学无止境” 博客,请务必保留此出处http://ting2junshui.blog.51cto.com/975290/712942

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!