1.selinux的概述
selinux相信大家一定不會陌生,它的全稱是內核級加強型防火牆。在服務器的安全方面起到了非常重要的作用。SELinux是一種基於 域-類型 模型(domain-type)的強制訪問控制(MAC)安全系統,它由NSA編寫並設計成內核模塊包含到內核中,相應的某些安全相關的應用也被打了SELinux的補丁,最後還有一個相應的安全策略。
這樣的說法太過官方,我們來舉一個生動的栗子:我們通工院有很多個專業,這麼多專業的學生又有一個自己的編號(學號),在學校的要求下,每個學生在上課的時候都應該在自己所在的教室,而不應該在別的專業的教室,這樣就把學生的活動范圍大大的減小了。
SELinux安全上下文初探 http://www.linuxidc.com/Linux/2014-04/99508.htm
一次由SELinux引起的SSH公鑰認證失敗問題 http://www.linuxidc.com/Linux/2013-07/87267.htm
SELinux 入門教程 http://www.linuxidc.com/Linux/2013-04/82371.htm
SELinux簡單配置 http://www.linuxidc.com/Linux/2012-12/77032.htm
CentOS系統如何快速關閉SELinux http://www.linuxidc.com/Linux/2012-11/74613.htm
selinux對於文件也是進行著同樣的做法,對每個文件都有一個標簽,是的,我們可以去查看:
這個是在mnt目錄下,我們的文件標簽是mnt_t 如果換一個目錄,它裡面的文件標簽就是另外一個形式。如果向外界的用戶開放服務的同時打開selinux,那麼用戶只能在開放服務的目錄下進行操作,即使用戶惡意的獲取到了root用戶權限,依然不能夠跨目錄進行操作,這樣就顯得很安全了。
selinux的安全性(在apache服務器上的安全性)
假設我們希望允許遠程匿名訪問 Web 服務器,我們必須通過防火牆打開端口。然而,這意味著惡意人
員可以嘗試利用安全漏洞以及,如果他們損壞 Web 服務器進程,獲得 apache 用戶和 apache 組的權
限來強行進入系統。該用戶 / 組具有 document root ( /var/www/html )等的讀取權限以及 /tmp 、
/var/tmp 和所有人均可寫的任何其他文件 / 目錄的寫入權限。
SELinux 是一組可確定哪個進程能訪問哪些文件、目錄、端口等的安全規則。每個文件、進程、目錄和
端口都具有專門的安全標簽,稱為 SELinux 上下文。上下文只是一個名稱, SELinux 策略使用它來確定
某個進程是否能訪問文件、目錄或端口。默認情況下,該策略不允許任何交互,因此明確的規則授予訪
問權限。如果沒有允許規則,則不允許訪問。
2.selinux的配置文件
selinux有三種模式:禁用模式、強制模式和許可模式
(1)禁用模式:selinux處於關閉的狀態,沒有起到上述所說的功能,此時的服務器就不安全了;
(2)強制模式: seLinux 主動拒絕訪問嘗試讀取類型上下文為 tmp_t 的文件的 Web 服務器。在強制
模式中, seLinux 不僅記錄而且提供保護。
(3)許可模式:通常用於對問題進行故障排除。在許可模式中,即使沒有明確規則, SELinux 也允許所有交
互,並且記錄所有被拒絕的交互。此模式可以用於確定您是否有 SELinux 問題。無需重新引導即可從
強制模式轉為許可模式,或再從許可模式轉回強制模式。
這三種模式是可以互相切換的,如果是臨時的修改可以采用setenforce:
上圖我們把selinux從強制模式修改到了許可模式。
但是這樣的修改只是暫時的,永久的修改我們需要修改selinux的配置文件:
/etc/sysconfig/selinux
注:一般來說第一次改為強制模式的化,在系統重啟的時候會比較漫長,內核在給所有的文件添加安全上下文!!
更多詳情見請繼續閱讀下一頁的精彩內容: http://www.linuxidc.com/Linux/2014-07/104447p2.htm
