SELinux
上一篇 /
下一篇 2013-03-27 11:19:13
/ 个人分类:linux
- ls -Z查看SELinux信息
- identify:role:type(身份识别:角色:类型)
- 身份识别(Identify):相当于账号方面的身份识别
- root:表示root的账号身份
- system_u:表示系统程序方面的识别
- user_u:代表的是一般使用者账号相关的身份
- 角色(Role):透过角色字段,我们可以知道这个暑假时属于程序、文件资源还是代表使用者
- object_r:代表的是文档或目录等资源
- system_r:代表就是程序
- 类型(Type):在预设的targeted政策中,Identify与role字段基本上市不重要的,重要的在于type字段。基本上一个主体程序能不能读取到这个文件,与type有关,domain需要与type搭配,则该程序才能够顺利读取文件资源
- SELinux的启动与关闭
- 查看SELinux模式 getenforce
- 设置SELinux模式 setenforce
- 执行restorecon -Rv 重新还原所有SElinux的类型
- SELinux配置文件 /etc/selinux/config
- 如果由enforcing或permissive改成disabled,或由disabled改成其他两个,必须要重新启动。这是因为SELinux是整合到内核里面去的
- 你可以在SELinux运作下切换成enforcing或permissive模式,不能直接关闭SELinux
- 如果熔disable转到启动SELinux的模式时,由于系统必须要针对文件写入安全性文本的信息,因此开机过程会花费不少时间在等待重新写入SElinux安全性文本,等到下次开机成功后再使用getenforce来观察是否成功启动到Enforcing的模式
- 当你单纯的复制文件,SELinux的type字段是会继承目标的目录的
- 当你移动文件,SELinux的type字段也会被移动过去
- chcon 修改文件或目录的SELinux信息
- semanage(需要安装yum install policycoreutils-python)
- SE政策查阅 (需要安装yum install setools-console)
- seinfo
- sesearch
- getsebool查看哪个布尔值是否启动
- setsebool
- 通过setroubleshootd 记录se错误信息
- Centos6对setroubleshoot的运作方式
- 先由auditd去活校audispd服务
- 然后audispd服务去启动sedispath程序
- sedispatch再将原本的auditd讯息转成setroubleshootd的信息,进一步存储下来
收藏
举报
TAG: