SELinux:Security Enhanced Linux。SELinux 是 NSA(美国国家安全局)开发设计,整合到 Linux 内核中的一个模块。

0. 基本概念

  • DAC(Discretionary Access Control),自主访问控制,传统的文件权限和账号关系;

    系统账号主要分为系统管理员(root)与一般用户,这两种身份能否使用系统上面的文件资源则与 rwx 的权限设置有关。自然各种权限设置对 root 是无效的。因此,当某个进程想要对文件进行访问时,系统就会根据该进程的所有者、用户组,并比较文件的权限,若通过权限检查,就可以访问该文件了。这种访问文件系统的方式呗称为“自主访问控制”(DAC),基本上就是依据进程的所有者与文件资源的 rwx 权限来决定有无访问的能力。

  • MAC(Mandatory Access Control),强制(委托)访问控制,以策略规则制定特定程序读取特定文件;

    MAC 可以针对特定的进程特定的文件资源来进行权限的控制,即使是 root,在使用不同的进程时,所能取得的权限不一定是 root,而是要看当时该进程的设置而定。如此一来,我们针对控制的“主体”编程了“进程”而不是“用户”。

1. SELinux 的运行模式

SELinux 通过 MAC 的方式来控管进程,其控制的主体(subject)是进程,而目标(object)则是该进程能否读取的“文件资源”,即其重点在于主体如何取得目标的资源访问权限。

2. SELinux 的启动、关闭与查看

并非所有的 linux distributions 都支持 SELinux。CentOS 5.x 本身就支持 SELinux,因 SELinux 是一种 linux 内核模块,因此无需自行编译 SELinux 到 Linux 内核中。

# getenforce

Enforcing

            # SELinux 支持三种模式,分别如下:

                enforcing:强制模式,代表 SELinux 正在运行中,已经开始限制 domain(主体程序,subject)/type(文件资源 object) 了

                permissive:容许模式,代表 SELinux 正在运行中,不过仅会有警告信息并不会实际限制 domain/type 的访问,用于 SELinux 的调试;

                disabled:SELinux 未运行;

# sestatus

            # 列出目前的 SELinux 的策略(policy)

# vim /etc/selinux/config   # selinux 配置文件

            SELINUX=enforcing,调整 enforcing|permissive|disabled

            SELINUXTYPE=targeted,目前仅有 targeted 与 strict

SELinux 初探的更多相关文章

  1. 第17章 程序管理与SELinux初探

    什么是进程 触发任何一个事件时,系统都会将它定义为一个进程,并且给予这个进程一个ID,称为PID,同时依据触发这个进程的用户与相关属性关系,给予这个进程一组有效的权限设置. 进程与程序 进程:执行一个 ...

  2. 鸟哥的linux私房菜——第十六章学习(程序管理与 SELinux 初探)

    第十六章.程序管理与 SE Linux 初探 在 Linux 系统当中:"触发任何一个事件时,系统都会将他定义成为一个程序,并且给予这个程序一个 ID ,称为 PID,同时依据启发这个程序的 ...

  3. 别人的Linux私房菜(17)进程管理与SELinux初探

    程序在磁盘中,通过用户的执行触发.触发事件时,加载到内存,系统将它定义成进程,给予进程PID,根据触发的用户和属性,给予PID合适的权限. PID和登陆者的UID/GID有关.父进程衍生出来的进程为子 ...

  4. Linux学习-SELinux 初探

    什么是 SELinux 什么是 SELinux 呢?其实他是『 Security Enhanced Linux 』的缩写,字面上的意义就是安全强化的 Linux 之意! 当初设计的目标:避免资源的误用 ...

  5. 鸟哥的linux私房菜学习记录之程序管理和SElinux初探

    process是进程的意思也就是说进程是正在运行的程序 将后台程序的错误信息等等输出到某个文档 终端关闭后会停止运行,如果想终端关闭后继续运行可以使用nohup命令,man nohup.

  6. 第十七章、程序管理与 SELinux 初探 工作管理 (job control)

    工作管理 (job control) 这个工作管理 (job control) 是用在 bash 环境下的,也就是说:『当我们登陆系统取得 bash shell 之后,在单一终端机介面下同时进行多个工 ...

  7. 第十七章、程序管理与 SELinux 初探

    ---恢复内容开始--- 什么是程序 (process) 在 Linux 底下所有的命令与你能够进行的动作都与权限有关, 而系统依据UID/GID以及文件的属性相关性判定你的权限!在 Linux 系统 ...

  8. SELinux初探

  9. 鸟哥私房菜基础篇:程序管理与 SELinux 初探习题

    猫宁!!! 参考:http://cn.linux.vbird.org/linux_basic/0440processcontrol.php 1-简单说明什么是程序 (program) 而什么是程序 ( ...

随机推荐

  1. POJ-2386Lake Counting,搜索题。。

    Lake Counting Time Limit: 1000MS   Memory Limit: 65536K           Description Due to recent rains, w ...

  2. PTA 01-复杂度2 Maximum Subsequence Sum (25分)

    题目地址 https://pta.patest.cn/pta/test/16/exam/4/question/663 5-1 Maximum Subsequence Sum   (25分) Given ...

  3. 洛谷P1145 约瑟夫

    题目描述 n个人站成一圈,从某个人开始数数,每次数到m的人就被杀掉,然后下一个人重新开始数,直到最后只剩一个人.现在有一圈人,k个好人站在一起,k个坏人站在一起.从第一个好人开始数数.你要确定一个最小 ...

  4. Python基础教程笔记——第3章:使用字符串

    字符串是不可修改的,标准序列操作(索引,分片,判断成员资格,求长度,取最大值 最小值)对字符串都是有效的. 格式化字符串,类似于C语言的输出是的感觉. >>> format=&quo ...

  5. Visual Studio Code Edit

    微软的跨平台编辑器~~ 下载地址(官网):https://code.visualstudio.com/ 下载地址(网盘):http://pan.baidu.com/s/1ntLy8Tr 使用技巧: c ...

  6. PB编译

    java -jar wire-compiler-1.8.0-jar-with-dependencies.jar --java_out=./  ngame.proto 其中java_out是指输出要放在 ...

  7. 原生js操作dom的方法

    今天学习了原生js的dom节点的操作,就记录下来,仅供自己以后参考. 1)创建节点:除了可以使用createElement创建元素,也可以使用createTextNode创建文本节点. documen ...

  8. java基础 2 static关键字

    2. static关键字 变量:静态变量在内存中只存在一份,只在类第一次实例化时初始化一次,同时类所有的实例都共享静态变量,可以直接同过类名                    来访问他. 方法:静 ...

  9. Java的循环结构

    以下内容引用自http://wiki.jikexueyuan.com/project/java/loop-control.html: 可能存在一种情况,当需要执行的代码块数次,通常被称为一个循环.Ja ...

  10. 【.Net Core 学习系列】-- EF Core 实践(Code First)

    一.开发环境: VS2015, .Net Core 1.0.0-preview2-003156 二解决方案: 新建项目: File --> New --> Project -->   ...