24SEL件 SELinuX已经作为模块集成到内核中,且默认处于开启状态。 对于管理人员来说,需要关注 SELinux的配置与管理。 配置文件目录 / selinux/即为 sELina伪文件系统,它包括内核子系统最常使用的命令 etc/ seinu/目录是所有策略文件和主配置文件存放的麦位置 过catt/ elinux/con的g可查看 SELin的全配文件 2. sELin, 245Eh件 2. SELinux 25 查看 SELinur状态: estates 出加的,的的
6 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux SELinux已经作为模块集成到内核中,且默认处于开启状态。 对于管理人员来说,需要关注SELinux的配置与管理。 配置文件目录: /selinux/即为SELinux伪文件系统,它包括内核子系统最常使用的命令。 此类型的文件系统与/proc/伪文件系统非常相似。 系统管理员和用户通常不需要直接操作该部件。 /etc/selinux/目录是所有策略文件和主要配置文件存放的首要位置。 通过cat /etc/selinux/config可查看SELinux的全局配置文件。 16 2.4 SELinux文件 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 17 2.4 SELinux文件 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 查看SELinux状态:sestatus 18 2.5 SELinux配置管理
SE 2. SELinu 查看SELu状态: getentarce aa.9.a-4F:30+=-D:B4 2. SELi 三
7 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 查看SELinux状态:sestatu 19 2.5 SELinux配置管理 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 查看SELinux状态:getenforce 20 2.5 SELinux配置管理 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 查看SELinux状态:getenforce 21 2.5 SELinux配置管理
2. SELinux 改 SELinux状态: setence +,, SE通 修改SEL 2. SELinux 25 修改 SELinux状态: setence 修改配置文件,实现 SELin的启用与禁用 修改 sELinux的配置文件,将配盖 ELINUX选项没置为daed,从 当系统重启后,配置生效
8 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 修改SELinux状态:setenforce 22 2.5 SELinux配置管理 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 修改SELinux状态:setenforce 23 2.5 SELinux配置管理 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 修改SELinux状态:setenforce 修改配置文件,实现SELinux的启用与禁用 修改SELinux的配置文件,将配置文件中的SELINUX选项设置为“disabled”,从 而关闭SELinux状态。 当系统重启后,配置生效。 24 2.5 SELinux配置管理
2. SELinux 吗g标容模式m分)的参数 2. SELinux Policy 当用户雯执行某一程序(例如 器)或某一进程执行动作时 会依照Pccy(策略)所制定的内容来检查用户或进程相对应的权限 级和力技方的用应,必须要同时付合传的使用方 SELin需要一个合适的Pcc才可以发挥效果。 组某图台(要)的时作系发行负,做 2. SELinux ted Policy是RHEL60已定义好的Pdky,这个 Targeted Policy的用 保护的服务有htpd( apache)、 named、dhpd 口布尔值( boolean) 口文件上下文( file contexts)
9 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 修改SELinux状态:setenforce 在系统启动时修改SELinux状态 在系统启动前,可以通过Kernel(内核)命令行参数的方式设定,即利用Boot loader设定该参数,对常用的GRUB就可以在/etc/grub.conf中进行设定。 其中主要有3种需要添加的命令,具体如下所示。 ①selinux=0:表示为SELinux停用模式(disabled)的参数; ②permissive=0:表示为SELinux宽容模式(permissive)的参数; ③enforcing=0:表示为SELinux强制模式(enforcing)的参数。 25 2.5 SELinux配置管理 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux Policy 当用户要执行某一程序(例如启动Web服务器)或某一进程执行动作时, 系统会依照Policy(策略)所制定的内容来检查用户或进程相对应的权限 信息,如果权限符合,系统就会允许该操作的执行。 SELinux检查方式独立于传统的使用者权限,必须要同时符合传统的使用者 权限和SELinux权限才能顺利执行相应操作。 SELinux需要一个合适的Policy才可以发挥效果。 如果Policy太宽松会使SELinux毫无用武之地。 如果Policy太严格会让用户操作觉得碍手碍脚。 通常Security Policy(安全策略)的制定工作由操作系统发行者来负责,例如 RedHat、SUSE、Debian等都内置了Policy。 26 2.6 SELinux布尔值和上下文配置 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux Policy Targeted Policy是RHEL 6.0已定义好的Policy,这个Targeted Policy的用 途是保护系统上的各项服务。 CentOS 6.0上SELinux可保护的服务有httpd(apache)、named、dhcpd、 snmpd等200多个服务。 Targeted Policy可粗分为两种类型的属性: 布尔值(boolean) 文件上下文(File contexts)。 27 2.6 SELinux布尔值和上下文配置
2. SELinu 例上下文量 2. SELinux Policy 用该门体的权8行的,图可 2. SELinux ,它可用来设定每个文件及 10
10 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux 28 2.6 SELinux布尔值和上下文配置 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux Policy Targeted Policy的属性:布尔值(boolean) 用来控制每个deamon(service)process“守护(服务)进程”的权限,不仅可 对该进程进行整体的权限控制外(${deamonname}_disable_tran),而且还可 对该进程的局部权限做控制。 如httpd(apache)就有多个布尔值boolean属性,httpd_enable_cgi可控制 httpd是否可以执行cgiscript;httpd_can_network_connect可控制httpd是否可 以对外做网络联机等。 29 2.6 SELinux布尔值和上下文配置 河南中医药大学 / 阮晓龙 / 13938213680 / http://linux.xg.hactcm.edu.cn / http://www.51xueweb.cn 2. SELinux Policy Targeted Policy的属性:文件上下文(File contexts) 用来控制文件系统中每个文件及目录的SELinux权限,它可用来设定每个文件及 目录的属性,可针对某个进程做严格的读写限制。 简单来说,布尔值控制进程行为本身,而上下文是控制进程读写文件的权限。 30 2.6 SELinux布尔值和上下文配置