26 2. SELinux 26 SELinux布尔值和上下文配置 口 Policy 当用户要执行某一程序(例如启动web服务器)或某一进程执行动作时, 系统会依照 Policy(策略)所制定的内容来检查用户或进程相对应的权限 信息,如果权限符合,系统就会允许该操作的执行。 ■ SELinUX检查方式独立于传统的使用者权限,必须要同时符合传统的使用者 权限和 SELinux权限才能顺利执行相应操作。 ■ SELinuX需要一个合适的 Policy才可以发挥效果。 口如果 Policy:太宽松会使 SELinuX毫无用武之地。 口如果 Policy:太严格会让用户操作觉得碍手碍脚。 口通常 Security Policy(安全策略)的制定工作由操作系统发行者来负责,例如 RedHat、SUsE、 Debian等都内置了 Policy 可南中医药大学/阮晓龙/13938213680/ht/ linuxxg nactcmeaucn/htp/w5 xuewen cn
27 2. SELinux 26 SELinux布尔值和上下文配置 口 Policy Targeted Policy是RHEL6.0已定义好的 Policy,这个 targeted Policy的用 途是保护系统上的各项服务。 ■Centos6.0上SELinux可保护的服务有httpd(apache),nameddhcpd snmpd等200多个服务。 ■ Targeted Policy可粗分为两种类型的属性 口布尔值( boolean) 口文件上下文( File contexts)。 可南中医药大学/阮晓龙/13938213680/ht/ linuxxg nactcmeaucn/htp/w5 xuewen cn
fear《mos7 Tahe ore ter he 交门病D重的工具 182 28 2·,·D···6·A·#:血·,②, texts/ 2. SELinu et custom types 尔值和上下文配置 dbus contexts default contexts file le contexts le contexts. homedirs le contexts. homedirs bin nitre context 表104pB分第 lxc contexts removable context 储查 sepgs texts snapper contexts 多化(系正式完的 systemd_contexts 大钟化(乐之使用的 userhelper_context users guest_u 国的尔(乐峡持的尔就下 DmT的p ssadm 自宝以的交 user virtu gecontext x contexts directories, 30 files 可南中医的大学/阮晓龙/ 222
29 2. SELinux 26 SELinux布尔值和上下文配置 口 Policy Targeted Policy的属性:布尔值( boolean 口用来控制每个 deamon( service) process守护(服务)进程的权限,不仅可 对该进程进行整体的权限控制外(${ deamonname} disable tran),而且还可 对该进程的局部权限做控制。 口如htpd(apache)就有多个布尔值boolean属性,httpdenablecg可控制 httpd是否可以执行cgiscript;httpdcannetworkconnect可控制httd是否可 以对外做网络联机等。 可南中医药大学/阮晓龙/13938213680/ht/ linuxxg nactcmeaucn/htp/w5 xuewen cn
30 2. SELinux 26 SELinux布尔值和上下文配置 口 Policy Targeted Policy的属性:文件上下文( File contexts 口用来控制文件系统中每个文件及目录的 SElinux权限,它可用来设定每个文件及 目录的属性,可针对某个进程做严格的读写限制。 口简单来说,布尔值控制进程行为本身,而上下文是控制进程读写文件的权限。 可南中医药大学/阮晓龙/13938213680/ht/ linuxxg nactcmeaucn/htp/w5 xuewen cn