首页 / LINUX / SELinux基本操作
SELinux基本操作
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了SELinux基本操作,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2262字,纯文字阅读大概需要4分钟。
内容图文
![SELinux基本操作](/upload/InfoBanner/zyjiaocheng/961/b9577ac4ea48466c8367287859ba54d9.jpg)
配置文件位置
/etc/selinux/config
启动关闭selinux
查询当前启动状态
getenforce
强制 enforcing 允许 permissive 禁用 Disabled
状态切换
修改配置文件
开启SElinux
SELINUX=disabled
SElINUX=enforcing
重启才能生效
注:初次启动,因为要跟新文件标签,启动时间比较长
reboot init 6
临时关闭
setenforce 0
不在生效 但是会记录文件
永久关闭
修改配置文件
SELINUX=disabled
配置举例
security context:安全上下文(安全环境)由以下内容构成:
system_u:object_r:httpd_sys_content_t
用户 角色 类型
policy:策略(控制规则,那些进程可以访问那些资源)
安全上下文
当启动selinux的时候,所有文件与对象都有安全上下文。进程的安全上下文是域domain
安全上下文有: 用户:角色:类型表示
特点:
- 系统根据PAM子系统中的/lib64、security/pam_selinux.so模块设定登陆这运行程序的安全上下文
- rpm包安装会柑橘叶rpm包的内记录生成安全上下文
- 如果是手工创建,会根据policy中规定来设置安全上下文
- 如果是cp,会重新生成安全上下文
- 如果是mv,安全上下文不变
安全上下文格式
安全上下文由user:role:type三部分组成,下面分别说明其作用:
user
user:类似linux系统中的uid,提供身份识别,安全上下文中的一部分。
三种常见的user:
- user_u:普通用户登录系统或预设;
- system_u:开机过程中系统进程的预设;管理员
- unconfined_u:非限制,没有做定义
role
文件与目录的role,通常是object_r; 程序的role,通常是system_r; 用户的role,类似于系统中的GID,不同的角色具备不同的权限;用户可以具备多个role;但是同一时间内只能使用一个role
type
type:用来将主体和客体划分为不同的组,组每个主体和系统中的客体定义了一个类型;为进程运行提供最低的权限环境。
例子
eg: 查看配置文件的selinux安全上下文 ls-Z a.txt
eg: 查看目录的SElinux安全上下文 ls -Z \root\
chcon
变更文件目录的selinux属性标签
使用方式: chcon [OPTION] …CONTEXT FILE…
chcon [OPTION] …CIBTEXT FILE…
参数如下:
-u USER:set user USER in the target security context
-r ROLE: set role ROLE in the target security context
-t TYPE: SET TYPE in the target security context
注:selinux 开启后,进程只能访问表示为自己只能够访问的安全上下文的文件与目录。
修改文件的安全上下文
查看文件的上下文
ls -Z /etc/hosts/
ls -Zd /var/
改变安全上下文
chcon -t ver_t /etc/hosts
ls -Z /etc/hosts
参照之前的安全上下文修改下载的安全上下文
chcon --reference=/var/www/html/ /var/www/html/a.html
restorecon
恢复档案目录预设的security Context
预设的安全上下文存放在 /etc/selinux/targeted/contexts/
常用参数命令
-r | -R: 包含子目录和目录下的文件
-v: 显示执行过程
内容总结
以上是互联网集市为您收集整理的SELinux基本操作全部内容,希望文章能够帮你解决SELinux基本操作所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。