时间:2021-05-23
SELinux(Security Enhanced Linux),以下是SELinux的三种类型实际操作流程示意图:
意义:
传统的Linux权限控制采用自主式权限控制(Discretionary Access Control, DAC),依据程序拥有者和资源的rwx权限决定有无存取能力.这样存在root账户盗用可以使用任何资源和目录如果被设为777权限而导致任意存取和操作的问题.SELinux采用MAC(Mandatory Access Control, MAC).在访问资源时,判断程序是否有权限,而不是判断用户.所以,即使不小心httpd被 取得了控制权,他也无权浏览/etc/shadow 等重要的文档.开启SELinux后,访问文件会经过SELinux权限控制和普通的用户资源rwx权限控制.
SELinux 是整合到核心的一个核心功能,不需要启动什么额外的服务来开启SELinux.开机完成后,SELinux也就启动了.
策略模式:
SELinux 的运作策略:
targeted:针对网路服务限制较多,针对本机限制较少,是预设的政策;
strict:完整的SELinux 限制,限制方面较为严格.
三种模式:
enforcing:强制模式,代表SELinux运作中,且已经正确的开始限制domain/type了;
permissive:宽容模式:代表SELinux运作中,不过仅会有警告讯息并不会实际限制domain/type的存取.这种模式可以运来作为SELinux的debug之用(看下什么原因导致无法访问);
disabled:关闭.
查询SELinux当前模式:getenforce
查询SELinux当前policy详细信息:sestatus
打开关闭:
临时关闭SELinux: setenforce 0 (设置SELinux 成为permissive模式)
临时打开SELinux: setenforce 1 (设置SELinux 成为enforcing模式)
彻底关闭SElinux: vi /etc/selinux/config 设置SELINUX=disabled ,重启生效
log:
以下服务可以记录当发生SELinux 错误时,将那些有用的资讯记录到log,用以提供解决的方案:
setroubleshoot(只记录错误信息)
auditd(记录详细信息)
基本使用:
安全性本文(Security Context)查看:
ls -Z
安全性本文主要用冒号分为三个栏位
Identify:role:type
身份识别:角色:类型
身份识别(Identify):
root:表示root的帐号身份,如同上面的表格显示的是root home目录下的资料
system_u:表示系统程序方面的识别,通常就是程序
user_u:代表的是一般使用者帐号相关的身份
角色(Role):
object_r:代表的是档案或目录等档案资源,这应该是最常见的
system_r:代表的就是程序啦!不过,一般使用者也会被指定成为system_r
类型(Type) :(最重要!)
程序的domain要和文件的type相搭配,才能有权限访问.
每个目录或档案都会有预设的安全性本文
查询增加修改预设的安全性文本:semanage
将文件修改为当前目录默认的安全性文本:
restorecon -Rv /var/www/html/index.html
将文件目录安全性文本设置为和另一个文件目录一样:
chcon -R --reference=/var/lib/ref_file target_file
可以设置和修改访问规则,可以修改目录默认安全性文本.
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
网站制作基本过程详解新手必看!基本概念
基本概念----------------------------------------------------------------------------
基本概念本章,我们会讲解“线程获取公平锁”的原理;在讲解之前,需要了解几个基本概念。后面的内容,都是基于这些概念的;这些概念可能比较枯燥,但从这些概念中,能窥见
在《基于线程、并发的基本概念(详解)》中,我们利用synchronized关键字、Queue队列、以及Object监视器方法实现了生产者消费者,介绍了有关线程的
我们首先看看Jtable和JTree的基本概念和常用构造方法。一:表格(JTable):1.基本概念:表格(JTable)是Swing新增加的组件,主要是为了将