有哪些做兼职的设计网站有哪些工作,大叔 wordpress,wordpress数据库介绍,宁波网站建设详细内容SELinux 概述
概念
SELinux#xff08;Security-Enhanced Linux#xff09;是美国国家安全局在 Linux 开源社区的帮助下开发的一个强制访问控制#xff08;MAC#xff0c;Mandatory Access Control#xff09;的安全子系统。它确保服务进程仅能访问它们应有的资源。
例…SELinux 概述
概念
SELinuxSecurity-Enhanced Linux是美国国家安全局在 Linux 开源社区的帮助下开发的一个强制访问控制MACMandatory Access Control的安全子系统。它确保服务进程仅能访问它们应有的资源。
例如当你在使用照片软件时软件应该仅操作图片文件而不能监听浏览器中的密码信息。
作用
SELinux 域限制对服务程序的功能进行限制确保服务程序不能做出越权行为。SELinux 安全上下文对文件资源的访问进行限制确保只有相关的服务进程可以访问相应的文件。
SELinux 与传统权限的区别
传统权限属于自主访问控制DACDiscretionary Access Control基于用户/用户组设置的权限来控制文件的访问权限。SELinux属于强制访问控制MACMandatory Access Control它通过策略规则来制定访问控制进程和文件的访问权限基于安全上下文而不完全依赖于文件的所有者或进程的用户身份。
SELinux 工作原理
关键概念
主体subject指向访问资源文件或目录的进程。目标object指被访问的资源文件或目录。策略policy一组规则用于定义主体访问目标的权限。安全上下文security context用于标识进程、文件或目录的安全属性决定了它们是否能够互相访问。
安全上下文的结构
安全上下文通常由以下四个字段组成
身份标识identity: 角色role: 类型type: 灵敏度sensitivity身份标识identity标识进程或文件的所有者。角色role区分进程与文件的角色例如 system_r 代表进程object_r 代表文件。类型type用于决定进程和文件是否能互相访问基于策略规则匹配。灵敏度sensitivity定义安全级别s0, s1, s2 等数字越大权限越高管控越严格。
SELinux 默认策略
targeted默认策略限制网络服务如 dhcpd, httpd, named 等对本机系统限制较少。mls多级安全保护策略限制更为严格。
SELinux 工作流程
当主体进程访问目标文件或目录时
SELinux 检查主体和目标的安全上下文是否匹配。若安全上下文匹配并且符合策略规则允许访问。若不匹配访问被拒绝并生成拒绝信息。
SELinux 模式
enforcing强制模式启用 SELinux 且拦截所有非法请求。permissive宽容模式启用 SELinux发出警告但不拦截。disabled关闭 SELinux。
SELinux 状态与配置
查看 SELinux 状态
查看当前 SELinux 模式getenforce查看详细状态sestatus查看 SELinux 配置文件/etc/selinux/config
修改 SELinux 配置文件
bash# 编辑配置文件
vim /etc/selinux/config
# 修改 SELINUX 变量
SELINUXenforcing # 启用 SELinux
SELINUXdisabled # 禁用 SELinux临时修改 SELinux 模式
bash# 临时开启
setenforce 1
# 临时关闭
setenforce 0恢复 SELinux 默认安全上下文
restorecon恢复文件的默认安全上下文
restorecon -Rv /web1 # 对目录和子目录恢复安全上下文修改 SELinux 安全上下文
chcon手动修改目标的安全上下文
chcon -v -t httpd_sys_content_t /web1 # 设置类型为 httpd_sys_content_t查看 SELinux 端口配置
# 查看 SELinux 允许的端口
semanage port -lsemanage 命令
semanage 用于管理 SELinux 策略添加/修改/删除文件的默认安全上下文管理网络端口等。
常用命令
查询默认安全上下文
semanage fcontext -l | grep /etc/passwd查询允许的端口
semanage port -l | grep http
SELinux 配置示例
使用 httpd 服务的 SELinux 设置
安装 httpd
yum install httpd -y设置默认网页目录
mkdir /web1修改目录安全上下文
chcon -Rv -t httpd_sys_content_t /web1修改 httpd 配置
vim /etc/httpd/conf/httpd.conf
DocumentRoot /web1
Directory /web1重启 httpd 服务
systemctl restart httpd
