Chapter 2 SELINUX LINUX教学文稿.pptVIP

Chapter 2 SElinux SElinux介绍 SElinux:Security Enhanced Linux安全强化的linux； SElinux是核心的一个模块； 委任式的访问控制MAC 针对特定的程序与特定的文件系统资源进行权限的管控； 管控的主体是程序而不是使用者，即使是root用户也不一定能访问所有资源； 和普通权限制度共同起作用 运作模式 主体（subject）:程序 目标（object）：文件系统资源 策略（policy）：根据策略内的rule来制定不同的服务开放不同的资源 安全性本文（securiyt context）：主体与目标的安全性本文必须一致才能够顺利存取 策略（重启生效） targeted：对网络服务限制较多，本地限制少； mls：完整的SElinux限制，对网络服务和本地服务都比较严格。 查询文件的安全性上下文 ls -lZ 查询进程的安全性上下文 ps aux -Z 安全性本文的格式 三列： 身份识别：角色：类型 身份识别 root：表示root用户； system_u：表示程序； user_u：普通用户。 角色 object _r：代表普通文件； system _r ：代表程序或脚本。 类型（标签） type：在文件系统上叫做type domain:在程序上叫做domain /usr/sbin/httpd的类型为httpd_exec_t（进程的标签）； /var/www/html的类型为httpd_sys_content_t（文件的标签）。