快速业务通道

安全的加强的linux:SELinux

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-03-26

selinux;全称安全加强的linux

secutity enhanced linux 上个世纪80年代美国国家安全属NSA研发出 MAC:强制访问控制 linux安全模型,每一个用户,他所拥有的文件,他想共享使用. 例如redhat用户,想让gentoo用户对自己的a.txt权限664的文件有写权限. 就需要修改权限664-->666(DAC自主访问控制) 这样一来就有很大的风险,其他用户也有了写权限. 进程的执行取决去用户所拥有的权限,我们只想让gentoo对a.txt具有写权限,进行修改.对其他任何文件都不能修改. 那么我们就需要对他进行一些限制,将他能执行的操作,仅限于a.txt这个文件. 我们就借助sandbox:沙盒 将他的权限限定在某个特定目标 我们定义一个进程类型为t1,在定义一个目标为t2 我们制定一个策略表,t1只能对t2执行什么操作,把活动范围限制在沙盒. 就是提供了一个域,将活动范围限定在这个域之内. subject:domain(type) 例如:一个web网站,linux系统上需要用户发起httpd进程来访问.这个用户拥有rx权限.我们只需要用户查看网页就行了,不能让他访问我们的系统,那么只要将他限定在一个域内就行了.比如我们建一个目录 /var/www,我们把用户的httpd进程活动范围限制在这个目录.他就算搞破坏,也只是针对这个目录,无法搞坏我们整个系统. MAC做进了内核,-->SELinux selinux的模型: strict模型:安全级别太高,每一个进程都需要严格设定,五角大楼才用 - -!! target模型:只对可能有风险的进行限定,web,ftp,http等 在/etc/selinux/config定义了类型 SELINUXTYPE=target在一行 可以关闭,只要修改SELINUX=enforcing enforcing-状态为生效 permissive-状态为生效,但不强制,只警告不阻止.发送邮件至日志 disabled-不开启 下次开机生效 getenforce查看当前生效的模型 setenforce 0 或1改变状态,在enforcing与permissive之间切换 /etc/sysconfig/selinux链接/etc/selinux/config 类型强制:selinux为每一个进程分配了一个标签 label:标签 user:用户 role:组 type:类型 #ls -Z 字段user:role:type 查看文件标签 #ps -axZ 查看进程标签 定义规则,策略在/etc/selinux/targeted/policy/policy.21 它是二进制格式,不可直接制定,需要文本文件,在进行转换 改变文件的类型# chcon -t 类型 文件名 我们可以通过修改文件标签来限制进程访问文件 restorecon -vvF 恢复文件类型 如果是目录,只改目录本身.要想对其子目录及其文件生效,使用-R 如果ftp被selinux限制,就不能上传了. 使用getsebool -a | less 查看进程功能的开启与关闭 修改方法:setsebool 功能名 no或off 当前生效,永久有效要加-P选项
Empire CMS,phome.net

本文出自 “屈斌” 博客,请务必保留此出处http://405168492.blog.51cto.com/3839809/722646

Empire CMS,phome.net

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号