基础课程 PPT linux课程资源Selinux配置(2).ppt

Network Optimization Expert Team Network Optimization Expert Team 模块3 LINUX网络管理及服务配置 主讲人：芮坤坤 3.8 Linux Selinux 配置 3.8.2 Selinux模式 SELinux有3种工作模式，分别是强制模式、许可模式和禁用模式。 （1）强制模式（Enforcing Mode） 强制模式表示启用SELinux，记录违规日志，并强制拒绝违规操作。 在强制模式下，Linux内核会加载SELinux安全子系统，当主体访问对象时，Linux内核会先经过传统的权限检查，如果传统权限允许操作，SELinux子系统会进行策略判断，如果找到相关的允许规则，则可以操作，如果规则不允许，或没有相关的规则，则会拒绝操作。同时，SELinux还会把违规事件记录到日志系统中。 SELinux强制模式的示意图可以参考图9-2，强制模式会对系统提供保护，实际上就是完全启用了SELinux。 3.8.2 Selinux模式 （2）许可模式（Permissive Mode） 许可模式表示启用SELinux，记录违规日志，但会允许所有违规操作。 在许可模式下，Linux内核也会加载SELinux安全子系统，许可模式与强制模式的区别在于，如果发生违规行为，SELinux还是会允许操作，就像是没有开启SELinux。但是许可模式会把违规事件记录到日志系统中，所以这个模式通常用于对问题进行故障排除，用来确定故障到底是系统服务的问题，还是SELinux的问题。如果在强制模式下，无法完成某种操作，可以将SELinux模式转换为许可模式，如果问题解决了，说明需要对SELinux进行一些配置，允许所需要的操作。 3.8.2 Selinux模式 （3）禁用模式（Disabled Mode） 禁用模式表示完全禁用SELinux，系统不受SELinux的保护。 在禁用模式下，Linux内核不会加载SELinux安全子系统，就像没有安装SELinux一样。需要注意的是，如果将SELinux的模式从强制或许可模式转换到禁用模式，必须要重新启动系统。 3.8.2 Selinux模式 （3）禁用模式（Disabled Mode） 禁用模式表示完全禁用SELinux，系统不受SELinux的保护。 在禁用模式下，Linux内核不会加载SELinux安全子系统，就像没有安装SELinux一样。需要注意的是，如果将SELinux的模式从强制或许可模式转换到禁用模式，必须要重新启动系统。 在Red Hat系列的Linux操作系统中，SELinux的配置文件是“/etc/selinux/config” 在这个配置文件中，提供了两个配置参数。 （1）SELINUX=enforcing 指定系统的SELinux模式，可以选择的模式包括enforcing、permissive和disabled，分别代表强制模式、许可模式和禁用模式。 这个配置能够控制系统在启动时应该使用的SELinux模式，如果打算长期使用某种SELinux模式，应该修改这个配置文件。但是，修改了“/etc/selinux/config”之后，必须重新启动系统，才能让SELinux转换到指定的工作模式。 （2）SELINUXTYPE=targeted 指定SELinux在启动时要加载的安全策略，可以选择的安全策略包括targeted和strict。SELinux默认会加载targeted安全策略，对常见的网络服务提供保护，targeted安全策略的规则数据库文件位于“/etc/selinux/targeted”目录中。 3.8.2 Selinux模式 * * * * Network Optimization Expert Team Network Optimization Expert Team * * * *