SELinux介绍

SELinux(​​传送门​​)是Security-Enhanced Linux的缩写,表示“安全增强型Linux”,他是美国国家安全局在Linux开源社区帮助下开发的MAC的安全子系统,其中MAC表示“强制访问控制”,指一种由操作系统约束的访问控制。

SELinux的“双重保险”


模式

含义


域限制

(Domain Limitation)


对服务程序的功能进行限制


安全上下文

(Security Context)


对文件资源的访问限制

防火墙和SELinux的区别


防火墙就想“防盗门”,用于抵御外部的危险

SELinux就想“保险柜”,用于保护内部的资源

SELinux的三种配置模式


配置模式

含义

enforcing

强制启用安全策略模式,将拦截服务的不合法请求

permissive

遇到服务越权访问时,执法处警告而不强制拦截

disabled

对于越权的行为不警告也不拦截

查看当前SELinux状态


sestatus


查看关于文件信息的更详细信息


sestatus -verbose


获取当前SELinux的运行模式


getenforce


暂时禁用SELinux运行模式(重启失效)


setenforce 0


启用SELinux运行模式


setenforce 1


为某文件或者目录添加SELinux上下文(针对apache)


semanage fcontext -a -t httpd_sys_content_t 文件目录(或者文件目录/*)
restorecon -Rv 文件目录