SELinux有四种工作类型:
- .strict: centos5, 每个进程都受到selinux 的控制
- . targeted: 用来保护常见的网络服务, 仅有限进程受到selinux 控制,只监控容易被入侵的进程,centos4 只保护13个服务,centos5 保护
- . minimum :centos7, 修改的targeted ,只对选择的网络服务
- .mls: 提供MLS (多级安全)机制的安全性
- 该文件定义了的开启关闭及类型(下面6)
[root@chenxi ~]# cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.强制生效
# permissive - SELinux prints warnings instead of enforcing 允许但谴责
.# disabled - No SELinux policy is loaded.不过
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted 工作类型的定义
- 传统Linux一切皆文件,由用户,组,权限控制访问
- 在SELinux 中,一切 皆 对象( (object ), 由 存放在 在inode的扩展属性域的安全元素所控制 其访问
- 所有文件和端口资源和进程都 具备安全标签: 安全上下文(security context)
- 安全上下文有五个元素组成
- user:role:type:sensitivity:category
- user_u:object_r:tmp_t:s0:c0
- 实际上下文:存放在文件系统中,ls –Z;ps –Z
- 期望( 默认) 上下文 :存放在二进制的SELinux 策略库(映射目录和期望安全上下文)中
semanage fcontext –l - 查看
类型
此标签表示多个程序对文件可读写
查看状态是否开启
[root@centos6 linux-3.16.45]# getenforce
Enforcing表示开启
临时禁用
- 显示更详细的信息
- 策略存放目录
-
创建一个临时文件
- 更改标签
- 查看某文件的默认标签
恢复默认标签策略
- 给自己新建的目录加标签至标签库;更改的是标签库
递归恢复
网友评论