SELinux 初探
来源:互联网 发布:淘宝联华文具 编辑:程序博客网 时间:2024/06/18 08:51
SELinux:Security Enhanced Linux。SELinux 是 NSA(美国国家安全局)开发设计,整合到 Linux 内核中的一个模块。
0. 基本概念
DAC(Discretionary Access Control),自主访问控制,传统的文件权限和账号关系;
系统账号主要分为系统管理员(root)与一般用户,这两种身份能否使用系统上面的文件资源则与 rwx 的权限设置有关。自然各种权限设置对 root 是无效的。因此,当某个进程想要对文件进行访问时,系统就会根据该进程的所有者、用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。这种访问文件系统的方式呗称为“自主访问控制”(DAC),基本上就是依据进程的所有者与文件资源的 rwx 权限来决定有无访问的能力。
MAC(Mandatory Access Control),强制(委托)访问控制,以策略规则制定特定程序读取特定文件;
MAC 可以针对特定的进程与特定的文件资源来进行权限的控制,即使是 root,在使用不同的进程时,所能取得的权限不一定是 root,而是要看当时该进程的设置而定。如此一来,我们针对控制的“主体”编程了“进程”而不是“用户”。
1. SELinux 的运行模式
SELinux 通过 MAC 的方式来控管进程,其控制的主体(subject)是进程,而目标(object)则是该进程能否读取的“文件资源”,即其重点在于主体如何取得目标的资源访问权限。
2. SELinux 的启动、关闭与查看
并非所有的 linux distributions 都支持 SELinux。CentOS 5.x 本身就支持 SELinux,因 SELinux 是一种 linux 内核模块,因此无需自行编译 SELinux 到 Linux 内核中。
# getenforceEnforcing # SELinux 支持三种模式,分别如下: enforcing:强制模式,代表 SELinux 正在运行中,已经开始限制 domain(主体程序,subject)/type(文件资源 object) 了 permissive:容许模式,代表 SELinux 正在运行中,不过仅会有警告信息并不会实际限制 domain/type 的访问,用于 SELinux 的调试; disabled:SELinux 未运行;# sestatus # 列出目前的 SELinux 的策略(policy)# vim /etc/selinux/config # selinux 配置文件 SELINUX=enforcing,调整 enforcing|permissive|disabled SELINUXTYPE=targeted,目前仅有 targeted 与 strict
- SElinux初探
- SELinux 初探
- SELinux初探
- SELinux初探
- SELinux 初探
- 第十七章 SELinux 初探
- 【Android】SELinux初探
- 程序管理与SELinux初探
- 进程管理与SELinux初探
- 第十七章、程序管理与 SELinux 初探
- 第十七章 程序管理与SELinux初探
- 17章 程序管理与SELinux初探
- 13.10《鸟哥 基础篇》17进程管理和SeLinux初探
- 第17章 程序管理与SELinux初探
- 第17章 程序管理与SELinux初探
- 第17章 程序管理与SELinux初探
- selinux
- SELinux
- CTex用WinEdt打开tex中文乱码解决
- LeetCode-5-Longest Palindromic Substring 最长回文子串DP
- 数据库事务
- javascript常用函数
- leetcode112 path sum
- SELinux 初探
- 组合模式
- LeetCode
- Java基础类库简介及lang包介绍
- 【算法】欧几里德、毕达哥拉斯、帕斯卡和蒙特去公园已知三点组成平行四边形,求第四点
- CIDR地址块及其子网划分(内含原始IP地址分类及其子网划分的介绍)
- java算法之快速排序
- Vue2 全局-Vue.extend构造器拓展
- python里的协程