16 2 seLinux 24 SELinUX文件 ¤ SELinux已经作为模块集成到内核中,且默认处于开启状态。 ¤对于管理人员来说,需要关注 SELinux的配置与管理。 口配置文件目录 ■/ selinux即为 SELinux伪文件系统,它包括内核子系统最常使用的命令。 口此类型的文件系统与/ρroc/伪文件系统非常相似。 ¤系统管理员和用户通常不需要直接操作该部件。 ■etc/ selinux/目录是所有策略文件和主要配置文件存放的首要位置。 口通过cat/etc/ selinux/config可查看 SELinux的全局配置文件。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux SELinux已经作为模块集成到内核中,且默认处于开启状态。 对于管理人员来说,需要关注SELinux的配置与管理。 配置文件目录: ◼ /selinux/即为SELinux伪文件系统,它包括内核子系统最常使用的命令。 此类型的文件系统与/proc/伪文件系统非常相似。 系统管理员和用户通常不需要直接操作该部件。 ◼ /etc/selinux/目录是所有策略文件和主要配置文件存放的首要位置。 通过cat /etc/selinux/config可查看SELinux的全局配置文件。 16 2.4 SELinux文件
文件(F)编(E)查(工且m 自 ssh//root”@21169.35.213:22 ·、國··的·8·A·:血团·,②,即要加前 [root@centos7Teach-] cat/ etc/se linux/config 2 seLina # This file controls the state of SELinux on the system. 24 SELinUX文件 SELINUX= can take one of these three values enforcing- sELinux security policy is enforced permissive -sELinux prints warnings instead of enforcing SELinux policy is loaded SELINUXTYPE= can take one of three two values ed-t otect mini- Modification of targeted policy. only selected processes are pro e security protect SELINUXTYPE=ta [@centos7Teach -]# ① SELin模式(图10-3中第6行的 SEL nUX选项)可以设置为 enforcing(强制)、 permissive 禁用) sELinuX模式设置明如表10-1所示 完整执行,这是SELn 庄要模式,建议在所有要求增强Liux安全性的操作系统上使用 拒绝的想,SELm不会墨响系的全性,这个棱式在 两试和利试一个军踪时车常有用 设置该状态后,系统业启后模式设才能生效 ② SELinux策暗类坐(图103中第1行的 SELINUXTYPE迭项)可以设置为 targeted类型 或ms类型(st类型》 SELIna策略类型设置说明如表102所示 策略类型设 s对系统中有进程进行访同验制 targeted为系统已经保护起来的守护进程(如 dhcpd、htpd、 named,nscd、ntpd、 portmap、 snmpd、 squid以及 syslogd等进程)規定了更多安全措施,ms(sct)则保护整个系统·启用 ms(stc)后,用户执行简单的命令(如s)都会报错,所以该策限制太严格了,系统很难使 选壤卡 用。因为计算机的入侵多数是来自网络的,通常选择 targeted作为 SELInAκ的黯控制类型,即 可南中医药大学/阮晓龙/mm1H2 供了对目标网路守护进程的保护,又不会影到整体系统的使用
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 17 2.4 SELinux文件
18 2 seLinux 2.5 SELinuX配置管理 口查看 SELinux状态: restates estates命令可查看 SELinux的运行状态、进程或文件等详细信息 【语法】 【选项说明】 sestatus命令选项及其说明如表10-3所示 表10-3 estates命令选项及其说明 项 无不需要输入其他选项。可直接查看 SELinuX扶态、模式、策暍类型等基本信息 查看 etc/sestatus conf文件中的信息(文件和进程的安全上下文信息) b|查看一些策略的状态(开启状态或关闭状态 可同时查看一些文件和进程的安全上下文值内容以及活动策的值内容 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 查看SELinux状态:sestatus 18 2.5 SELinux配置管理
sh/oot”21169.35.213:22 19 ·、國··的·8·A·:血团·,②,即要加前 2 SELinu sELin enabled nuxfs mount /sys/fs/selinux SELinux配置管理 SELinux root directory Loaded policy name targeted 查看SELi de from config file In Policy MLs status Policy deny_unknown status: Max kernel policy verslon [root@centos7Teach -]# 表104 SELinux运行态调 ELinux sta sLM以的运行状态,是否开自 SELin的相关文件资料挂点 SELinux root directory SELinux的置置文件所在路径 数的策卖型名字 SELinκ当前运行 Mode from config file sELm配置文件中运行很式 Policy deny unknown status未知策略扶态 Max kernel policy verson 最大内核策略版 可南中医药大学/阮晓龙/ sh/ot②211693521322 5sH2 term. 804011241会活量4
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 查看SELinux状态:sestatu 19 2.5 SELinux配置管理
20 2 seLinux 2.5 SELinuX配置管理 口查看 SELinuX状态: getenforce 【功能】 getenforce命令可查看 SELinux的运行模式信息 【语法】 该命令不需要输入其他选项信息进行查看,其语法格式如下所示 getenforce 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 查看SELinux状态:getenforce 20 2.5 SELinux配置管理