亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何進行linux SELinux入門

發布時間:2022-01-21 11:24:58 來源:億速云 閱讀:184 作者:柒染 欄目:開發技術

小編今天帶大家了解如何進行linux  SELinux入門,文中知識點介紹的非常詳細。覺得有幫助的朋友可以跟著小編一起瀏覽文章的內容,希望能夠幫助更多想解決這個問題的朋友找到問題的答案,下面跟著小編一起深入學習“如何進行linux  SELinux入門”的知識吧。

如果你在之前的Linux生涯中都禁用或忽略了SELinux,下面進行對存在于Linux桌面或服務器之下的SELinux系統的介紹,它能夠限制權限,甚至消除程序或守護進程的脆弱性而造成破壞的可能性。

回到Kernel 2.6 時代,那時候引入了一個新的安全系統,用以提供訪問控制安全策略的機制。這個系統就是Security Enhanced Linux (SELinux),它是由美國國家安全局(NSA)貢獻的,它為Linux內核子系統引入了一個健壯的強制控制訪問Mandatory Access Control架構。

在我開始之前,你應該已經了解的是SELinux主要是紅帽Red Hat Linux以及它的衍生發行版上的一個工具。類似地, Ubuntu 和 SUSE(以及它們的衍生發行版)使用的是 AppArmor。SELinux和AppArmor 有顯著的不同。你可以在SUSE,openSUSE,Ubuntu等等發行版上安裝SELinux,但這是項難以置信的挑戰,除非你十分精通 Linux,說了這么多,讓我來向你介紹SELinux。

DAC vs. MAC

Linux上傳統的訪問控制標準是自主訪問控制Discretionary Access Control(DAC)。在這種形式下,一個軟件或守護進程以User ID(UID)或Set owner User ID(SUID)的身份運行,并且擁有該用戶的目標(文件、套接字、以及其它進程)權限。這使得惡意代碼很容易運行在特定權限之下,從而取得訪問關鍵的子系統的權限。

另一方面,強制訪問控制Mandatory Access Control(MAC)基于保密性和完整性強制信息的隔離以限制破壞。該限制單元獨立于傳統的Linux安全機制運作,并且沒有超級用戶的概念。

SELinux如何工作

考慮一下SELinux的相關概念:

  • 主體Subjects

  • 目標Objects

  • 策略Policy

  • 模式Mode

  • 當一個主體Subject(如一個程序)嘗試訪問一個目標Object(如一個文件),SELinux安全服務器SELinux Security Server(在內核中)從策略數據庫Policy Database中運行一個檢查。基于當前的模式mode,如果 SELinux 安全服務器授予權限,該主體就能夠訪問該目標。如果SELinux安全服務器拒絕了權限,就會在/var/log/messages中記錄一條拒絕信息。

    聽起來相對比較簡單是不是?實際上過程要更加復雜,但為了簡化介紹,只列出了重要的步驟。

    模式

    SELinux 有三個模式(可以由用戶設置)。這些模式將規定 SELinux 在主體請求時如何應對。這些模式是:

  • Enforcing 強制— SELinux 策略強制執行,基于 SELinux 策略規則授予或拒絕主體對目標的訪問

  • Permissive 寬容— SELinux 策略不強制執行,不實際拒絕訪問,但會有拒絕信息寫入日志

  • Disabled 禁用— 完全禁用SELinux

  • 如何進行linux  SELinux入門(getenforce命令顯示SELinux的狀態是Enforcing啟用狀態)

    默認情況下,大部分系統的SELinux設置為Enforcing。你要如何知道你的系統當前是什么模式?你可以使用一條簡單的命令來查看,這條命令就是 getenforce。這個命令用起來難以置信的簡單(因為它僅僅用來報告SELinux的模式)。要使用這個工具,打開一個終端窗口并執行 getenforce 命令。命令會返回 Enforcing、Permissive,或者Disabled(見上圖)。

    設置SELinux的模式實際上很簡單——取決于你想設置什么模式。記住:永遠不推薦關閉 SELinux。為什么?當你這么做了,就會出現這種可能性:你磁盤上的文件可能會被打上錯誤的權限標簽,需要你重新標記權限才能修復。而且你無法修改一個以 Disabled 模式啟動的系統的模式。你的最佳模式是Enforcing或者Permissive。

    你可以從命令行或/etc/selinux/config文件更改SELinux的模式。要從命令行設置模式,你可以使用setenforce工具。要設置Enforcing模式,按下面這么做:

    1.打開一個終端窗口
    2.執行su然后輸入你的管理員密碼
    3.執行setenforce 1
    4.執行getenforce確定模式已經正確設置(如下圖)
    如何進行linux  SELinux入門
    要設置模式為Permissive,這么做:
    1.打開一個終端窗口
    2.執行su然后輸入你的管理員密碼
    3.執行setenforce 0
    4.執行getenforce確定模式已經正確設置(如下圖)
    如何進行linux  SELinux入門
    注:通過命令行設置模式會覆蓋 SELinux 配置文件中的設置。
    如果你更愿意在SELinux命令文件中設置模式,用你喜歡的編輯器打開那個文件找到這一行:

SELINUX=permissive

你可以按你的偏好設置模式,然后保存文件。
還有第三種方法修改SELinux的模式(通過 bootloader),但我不推薦新用戶這么做。

策略類型

SELinux策略有兩種:
Targeted目標 — 只有目標網絡進程(dhcpd,httpd,named,nscd,ntpd,portmap,snmpd,squid,以及 syslogd)受保護
Strict嚴格 — 對所有進程完全的SELinux保護
你可以在/etc/selinux/config文件中修改策略類型。用你喜歡的編輯器打開這個文件找到這一行:

SELINUXTYPE=targeted

修改這個選項為targeted或strict以滿足你的需求。

檢查完整的SELinux狀態

有個方便的SELinux 工具,你可能想要用它來獲取你啟用了SELinux的系統的詳細狀態報告。這個命令在終端像這樣運行:

sestatus -v

你可以看到像下圖這樣的輸出。
如何進行linux  SELinux入門

感謝大家的閱讀,以上就是“如何進行linux  SELinux入門”的全部內容了,學會的朋友趕緊操作起來吧。相信億速云小編一定會給大家帶來更優質的文章。謝謝大家對億速云網站的支持!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

扎兰屯市| 金堂县| 淅川县| 镇原县| 响水县| 浑源县| 岳池县| 肥西县| 罗江县| 扎赉特旗| 顺义区| 林甸县| 获嘉县| 上思县| 淳安县| 区。| 伊春市| 上高县| 仪陇县| 汉中市| 普兰县| 阜南县| 广汉市| 柘城县| 紫云| 镇坪县| 仁怀市| 麻阳| 瑞金市| 从江县| 香格里拉县| 城固县| 新津县| 文安县| 巴中市| 绥棱县| 青铜峡市| 桃园县| 贡觉县| 金坛市| 措勤县|