锁定老帖子 主题:SELinux 权限设置
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
---|---|
作者 | 正文 |
发表时间:2010-05-27
SELinux 权限设置 2010-5-26 陈 恒
一、SELinux简介SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)领导开发的GPL项目,它拥有一个灵活而强制性的访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保证,可防御未知攻击,据称相当于B1级的军事安全性能。比MS NT所谓的C2等高得多。 应用SELinux后,可以减轻恶意攻击或恶意软件带来的灾难,并提供对机密性和完整性有很高要求的信息很高的安全保障。 SELinux vs Linux 普通Linux安全和传统Unix系统一样,基于自主存取控制方法,即DAC,只要符合规定的权限,如规定的所有者和文件属性等,就可存取资源。在传统的安全机制下,一些通过setuid/setgid的程序就产生了严重安全隐患,甚至一些错误的配置就可引发巨大的漏洞,被轻易攻击。 而SELinux则基于强制存取控制方法,即MAC,透过强制性的安全策略,应用程序或用户必须同时符合DAC及对应SELinux的MAC才能进行正常操作,否则都将遭到拒绝或失败,而这些问题将不会影响其他正常运作的程序和应用,并保持它们的安全系统结构。 二、SELinux主要配制文件SELinux主要配制文件位于/etc/selinux/下。在网络中的服务器,建议开启SELinx,以提高系统的安全性。我这里通过命令方式来改变SELinx的安全策略,就不在对SELinux的配制文件做具体说明。 三、SELinux常用的命令Ø ls –Z | ps –Z | id –Z 分别用于查看文件(夹)、进程和用户的SELinx属性。最常用的是ls -Z Ø sestatus 查看当前SELinux的运行状态 Ø setenforce 在SELinux为启动模式下,用此命令可以暂时停用SELinux Ø getsebool 查看当前Policy(策略)的布尔值 Ø setsebool 设置Policy的布尔值,以启用或停用某项Policy Ø chcon 改变文件或文件夹的content标记 四、SELinux实用案例4.1 SELinux对Apache的保护新安装的wordpress位于/vogins/share/wordpress下,按照系统的默认策略,/vogins,/vogins/share的SELinux属性为file_t,而这是不允许httpd进程直接访问的。为此,需要做如下高调整: 1) 改变/vogins,/vogins/share的SELinux属性 Shell> chcon –t var_t /vogins Shell> chcon –t var_t /vogins/share 2) 改变wrodpress目录的SELinux属性 Shell> chcon –R –t httpd_sys_content_t wordpress 3) 允许apache进程访问mysql setsebool -P httpd_can_network_connect=1 4) 关于Apache里虚拟主机的配制就里就不多说,重新启动apache,就可以正常访问wordpress Shell> /etc/init.d/httpd start 注意:如果出现不能访问的情况,请查看/var/log/messages里的日志。一般来说,按照提示就可以解决了。
声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
|
返回顶楼 | |
浏览 5942 次