SELinux功能

电玩女神 2022-01-16 20:37 332阅读 0赞

SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系,在这种访问控制体系的限制下,进程只能访问那些在他的任务中所需要文件。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。对于目前可用的 Linux安全模块来说,SELinux 是功能最全面,而且测试最充分的,它是在 20 年的 MAC 研究基础上建立的。SELinux 在类型强制服务器中合并了多级安全性或一种可选的多类策略,并采用了基于角色的访问控制概念。[1]
大部分使用 SELinux 的人使用的都是 SELinux 就绪的发行版,例如 Fedora、Red Hat Enterprise Linux (RHEL)、Debian或 Centos。它们都是在内核中启用 SELinux 的,并且提供一个可定制的安全策略,还提供很多用户层的库和工具,它们都可以使用 SELinux 的功能。
SELinux是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中,相应的某些安全相关的应用也被打了SELinux的补丁,最后还有一个相应的安全策略。任何程序对其资源享有完全的控制权。假设某个程序打算把含有潜在重要信息的文件扔到/tmp目录下,那么在DAC情况下没人能阻止他。SELinux提供了比传统的UNⅨ权限更好的访问控制。

查看SELinux状态:

1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态

SELinux status: enabled

2、getenforce ##也可以用这个命令检查

关闭SELinux:

1、临时关闭(不用重启机器):

setenforce 0 ##设置SELinux 成为permissive模式

##setenforce 1 设置SELinux 成为enforcing(开启)模式
getenforce ##查看SELinux 当前状态
setenfoce ##用于命令行管理SELinux的级别,后面的数字表示设置对应的级别
getenfoce ##查看SELinux当前的级别状态

2、修改配置文件需要重启机器:

修改/etc/selinux/config 文件

将SELINUX=enforcing改为SELINUX=disabled

sed -i ‘s/SELINUX=enforcing/SELINUX=disabled/‘ /etc/selinux/config

grep SELINUX=disabled /etc/selinux/config
SELINU=disabled

转载于:https://blog.51cto.com/8088591/1770312

发表评论

表情:
评论列表 (有 0 条评论,332人围观)

还没有评论,来说两句吧...

相关阅读

    相关 selinux 控制

    在某些Linux发行版上,默认情况下启用SELinux,如果不了解SELinux的工作原理以及如何配置它的基本详细信息,则可能会导致一些不必要的问题。一般强烈建议了解了SELi

    相关 关闭SELinux

    SELinux是Linux下一个安全的体系结构,但是就是因为它提供了安全的机制,有些时候在我们测试的过程中会给我们带来一些困扰。那么如何来关闭SELinux呢?下面介绍两种关闭

    相关 关闭SELinux

    SELinux是Linux系统特有的安全机制。因为这种机制的限制太多,配置也特别烦琐,所以几乎没有人真正使用它。安装完系统,我们一般都要把SELinux关闭,以免引起不必要的麻

    相关 SELinux

    存取文件系统的传统方式成为【自主式访问控制(DAC)】,基本上就是根据进程的拥有者与文件资源的rwx权限来决定有无存储的能力。 有以下缺点: ![2019031111234

    相关 SELinux功能

    SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。NSA是在L