26 2 seLinux 2.6 SELinuX布尔值和上下文配置 Pol 当用户要执行某一程序(例如启动Web服务器)或某一进程执行动作时, 系统会依照 Policy(策略)所制定的内容来检查用户或进程相对应的权限 信息,如果权限符合,系统就会允许该操作的执行。 SELinux检查方式独立于传统的使用者权限,必须要同时符合传统的使用者 权限和 SELInux权限才能顺利执行相应操作 SELinux需要一个合适的Poc才可以发挥效果。 口如果 Policy太宽松会使 SELinux毫无用武之地 ¤如果 Policy.太严格会让用户操作觉得碍手碍脚。 口通常Security Policy(安全策略)的制定工作由操作系统发行者来负责,例如 Redhat、SUSE、 Debian等都内置了 Policy。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux Policy ◼ 当用户要执行某一程序(例如启动Web服务器)或某一进程执行动作时, 系统会依照Policy(策略)所制定的内容来检查用户或进程相对应的权限 信息,如果权限符合,系统就会允许该操作的执行。 ◼ SELinux检查方式独立于传统的使用者权限,必须要同时符合传统的使用者 权限和SELinux权限才能顺利执行相应操作。 ◼ SELinux需要一个合适的Policy才可以发挥效果。 如果Policy太宽松会使SELinux毫无用武之地。 如果Policy太严格会让用户操作觉得碍手碍脚。 通常Security Policy(安全策略)的制定工作由操作系统发行者来负责,例如 RedHat、SUSE、Debian等都内置了Policy。 26 2.6 SELinux布尔值和上下文配置
27 2 seLinux 2.6 SELinuX布尔值和上下文配置 Pol argeted Policy是RHEL60已定义好的 Policy,这个 targeted Policy的用 途是保护系统上的各项服务。 ■Centos6.0上SELinux可保护的服务有httpd(apache)named,dhcpd snmpd等200多个服务。 ■ Targeted policy可粗分为两种类型的属性: 口布尔值( boolean) 口文件上下文( File contexts)。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux Policy ◼ Targeted Policy是RHEL 6.0已定义好的Policy,这个Targeted Policy的用 途是保护系统上的各项服务。 ◼ CentOS 6.0上SELinux可保护的服务有httpd(apache)、named、dhcpd、 snmpd等200多个服务。 ◼ Targeted Policy可粗分为两种类型的属性: 布尔值(boolean) 文件上下文(File contexts)。 27 2.6 SELinux布尔值和上下文配置
sh/oot”21169.35.213:22 28 ·國·贮母··8·A··四:自血团·,②,要加前话鼎 2. SELin产 尔值和上下文配置 contexts failsafe context file contexts file contexts. bin file contexts. homedirs ontexts. homedirs. bin file c nitrc contex 表106Pocy部目录架构明 context 存情安全上下文c secureity typ sepgsql_context snapper_contexts 多次pok模块化目录(系统目箱正式用的poy systemd_context 多次poky模块化目录(系统之使用的poy userhe per_context 存二进的p0y交件 users 存粮psy中每个限的帝尔值 aca自定义pky的布尔值《非系统设的态尔值可放在此路径下) contextsMfiledie contests loca管理者自定义的poy设置文件 confined I virtual domai virtual_image_context x contexts directories, 30 files [@centos7Teach -]# 选壤卡 可南中医药大学/阮晓龙/ sh/ot②211693521322 r040"37241
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 28 2.6 SELinux布尔值和上下文配置
9 2 seLinux 2.6 SELinuX布尔值和上下文配置 口 Policy Targeted Policy的属性:布尔值( boolean 口用来控制每个 deamon( service) process"守护(服务)进程"的权限,不仅可 对该进程进行整体的权限控制外(${ deamonname} disable tran),而且还可 对该进程的局部权限做控制 a如httpd(apache)就有多个布尔值boolean属性httpdenablecgi可控制 httpd是否可以执行cgiscript;httpdcannetworkconnect可控制httd是否可 以对外做网络联机等。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux Policy ◼ Targeted Policy的属性:布尔值(boolean) 用来控制每个deamon(service)process“守护(服务)进程”的权限,不仅可 对该进程进行整体的权限控制外(${deamonname}_disable_tran),而且还可 对该进程的局部权限做控制。 如httpd(apache)就有多个布尔值boolean属性,httpd_enable_cgi可控制 httpd是否可以执行cgiscript;httpd_can_network_connect可控制httpd是否可 以对外做网络联机等。 29 2.6 SELinux布尔值和上下文配置
30 2 seLinux 2.6 SELinuX布尔值和上下文配置 Pol Targeted Policy的属性:文件上下文( File contexts 口用来控制文件系统中每个文件及目录的 SELina权限,它可用来设定每个文件及 目录的属性,可针对某个进程做严格的读写限制。 ¤简单来说,布尔值控制进程行为本身,而上下文是控制进程读写文件的权限。 南中医药大学/阮晓龙/13938213680/http://inux.xg.hactcm.edu.cn/http://www.51xueweb.cn
河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux Policy ◼ Targeted Policy的属性:文件上下文(File contexts) 用来控制文件系统中每个文件及目录的SELinux权限,它可用来设定每个文件及 目录的属性,可针对某个进程做严格的读写限制。 简单来说,布尔值控制进程行为本身,而上下文是控制进程读写文件的权限。 30 2.6 SELinux布尔值和上下文配置