Selinux学习笔记

第一:Selinux概述

自主访问控制DAC
    ugo/rwx基本权限
    文件系统的特殊位
    访问控制列表ACL

强制访问控制MAC(MAC在目前的开源是实现中,redheat系列是Selinux,suse,ubuntu系列中的实现是AppArmor)
    NSA开发的安全增强型Linux(目的是把权力关在笼子里)(主体 对象 动作)

    ps axZ | grep httpd
    ls -dZ /var/www/html
    mkdir 123
    ls -dZ 123

第二:修改selinux的策略

    永久修改
        cat /etc/selinux/config
    临时修改
        setenforce [ 0|1 ]

Selinux的三种状态,及如何查看是否有挂载虚拟的selinux文件系统

    enforcing:  1   强制模式
    permissive: 0   宽容模式,不阻止违规行为,只是记录日志()
    disabled:       关闭模式

查看虚拟的selinux文件系统挂载情况
    mount | grep se

第四:Selinux中"一切都得有一个标签" label=context

    所有用户,文件,进程,网络端口资源都具有与其关联的Selinux标签/上下文
    Selinux策略决策是基于资源的标签/上下文进行的(标签和上下文是一个东西)
    普通文件对象的Selinux标签/上下文存储在文件系统的扩展属性(可以理解为存在inode)中

使用-Z可以看到
    id -Z
    ls -Z var/www/html
    ps -eZ | grep httpd

第五:Selinux标签包含四部分信息(注意下划线后面的标识)
用户user:角色role:类型type:敏感度级别level

selinux的用户管理

管理映射关系
    查看映射关系:semanage login -l
    创建新的映射:semanage login -a -s staff_u tom
    修改新的映射:semanage login -m -s sysadm_u tom    (如何修改默认关系)
    删除新的映射:semanage login -d tmo
管理selinux用户
    查看用户:semanage user -l
    创建自定义用户:semanage user -a -R staff_r swift_u
    修改自定义用户:semanage user -m -R "staff_r sysadm_r" swift_u
    删除自定义用户:semanage user -d swift_u
声明:本文为原创,作者为 辣条①号,转载时请保留本声明及附带文章链接:https://boke.wsfnk.com/archives/1192.html
微信打赏微信打赏

如果文章对你有帮助,欢迎点击上方按钮打赏作者

最后编辑于:2020/2/19作者: 辣条①号

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注