RHCE_RHEL6_135红帽系统管理Ⅱ解读.ppt

设置ACL 访问控制列表（ACL） 为多用户或者组的文件和目录赋予访问权限rwx mount -o acl /directory getfacl file |directory setfacl -m u:gandolf:rwx file|directory setfacl -m g:nazgul:rw file| directory setfacl -m d:u:frodo:re directory setfacl -x u:samwise file |directory setfacl -m m:rwx file 设置默认权限，默认权限没有设置，但表这个用户的拥有者的权限 -m:设置ACL权限 -x: 取消ACL权限 查看ACL权限 显示的数据前面加上 # 的，代表这个文件的默认属性，包括文件名、文件拥有者与文件所属群组。 底下出现的 user, group, mask, other 则是属于不同使用者、群组与有效权限(mask)的设定值。 访问控制列表（ACL） ACL访问控制列表里的mask Mask需要与用户的权限进行逻辑与运算后，才能变成有限的权限(Effective Permission) 用户或组的设置必须存在于mask权限设定范围内才会生效。 setfacl -m mx:rx file RH135 –红帽Linux系统管理 Ⅱ 单元12 管理SELINUX 李 伟 阶 mail 目标 学习了本单元以后，你应该能够： 开启/关闭selinux 文件安全行文 调整布尔值 故障排除的日志 Selinux原理图 主体与目标的安全上下行文必须一致才能够顺利访问。 重点在主体如何取得目标的资源访问权限，主题程序必须要通过selinux SELinux 对比强制访问控制（MAC）和随机访问控制（DAC） 一组叫做“策略（policy）”的规则会决定控制的严格程度 进程要么被限制的，要么是无束缚的 策略被用来定义被限制的进程能够使用那些资源 默认情况下，没有被明确允许的行为将被拒绝执行 SELinux续 所有文件和进程都具备“安全环境”（security context） 环境根据安全需要有集中元素 user:role:type:sensitivity:category user_u:object_r:tmp_t:s0:c0 不是所有的系统都会显示s0:c0 ls -Z ps -Z SELinux：目标策略 目标策略在安装时被载入 多数本地进程都属于自由（unconfined）进程 可以使用chcon命令来改变安全环境 chcon -t tmp_t /etc/hosts chcon --reference=/etc/passwd /var/www/html/index.html 使用restorecon更安全,能回复默认的安全行文 restorecon -Rv /etc/hosts SELinux：管理 模式：强制（enforcing）、允许（Permissive）、禁用（Disabled） 目标策略允许改变强制属性 getenforce setenforce 0 |1 使用selinux=0在GRUB中禁用SELinux /etc/sysconfig/selinux system-config-securitylevel 更改模式、禁用需要重启后生效 system-config-selinux Booleans setroubleshoot 建议如何避免出错，而不是确保安全 SELinux所需要的服务 yum install setroublesshoot 将错误的信息写入/var/log/message RHEL6中setroubleshoot不在系统中作为一个独立服务存在！ auditd 讲详细的数据写入到/var/log/audit/audit.log service auditd start service rsyslog start 通过sealert -l查看如何安全规则 SELINUX的策略与管理 RHEL默认使用targeted的策略，这个策略提供多少相关规则呢？ yum install setools-console 必须安装这个包才能支持以下的命令行工具！ seinfo --all 列出SELINUX的状态、规则布尔值、角色类型等所有的信息 -b 列出所有规则的种类（布尔值） seinfo -t |grep httpd: 可以找到和httpd 相关的安全类型