Linux操作系統(tǒng)配置與管理課件：SELinux的應(yīng)用

Linux操作系統(tǒng)配置與管理

SELinux的應(yīng)用

學(xué)習(xí)要點(diǎn)安全上下文以及類型強(qiáng)制概念基于角色的訪問控制SELinux配置文件的使用SELinux配置命令的使用11.1SELinux的特點(diǎn)

1.SELinux實(shí)現(xiàn)了以策略為基礎(chǔ)的命令訪問控制2.SELinux可為每一個服務(wù)指定權(quán)限以及策略

3.RHEL將SELinux與FTP、Samba、Apache等一系列服務(wù)整合,可為每一個服務(wù)制定嚴(yán)格的SELinux策略

11.2SELINUX的運(yùn)行狀態(tài)配置

SELinux運(yùn)行狀態(tài)有：enforcing（SELinux安全策略被強(qiáng)制執(zhí)行）permissing（SELinux系統(tǒng)輸出警告信息，但不強(qiáng)制執(zhí)行安全策略）disable(SELinux被完全終止)三種

11.3SELinux配置管理

11.3.1SELinux控制規(guī)則及相關(guān)概念1.DAC（DiscretionaryAccessControl，自主訪問控制）2.MAC（MandatoryAccessControll，強(qiáng)制訪問控制）

3.安全上下文與TE（類型強(qiáng)制）4.RABC（基于角色的訪問控制

11.3SELinux配置管理

11.3.2SELinux配置文件

SELinux的配置文件主目錄為/etc/selinux，在RHEL5.x中可用模塊包括下面幾種。targeted：RedHat開發(fā)的策略模塊，只對Apache、SendMail、BIND、PostgresQL等網(wǎng)絡(luò)服務(wù)進(jìn)行保護(hù)，不屬于這些服務(wù)的就都屬于unconfined_t。該模塊也可導(dǎo)入性高，可用性好，但是不能呢個對整體進(jìn)行保護(hù)。Strict：NAS開發(fā)的策略模塊，能對整個系統(tǒng)進(jìn)行保護(hù)，但是設(shè)定復(fù)雜。mls：是一個較新的安全策略11.3SELinux配置管理

11.3.3SELinux相關(guān)命令1.

seinfo命令2.boolean命令3.查看安全上下文命令4.chcon命令5.restorecon命令6.semanage命令

11.3SELinux配置管理

11.3.4SELinux日志日志信息都位于在/var/log/messagesN(該文件有多個，結(jié)尾會編號)單擊“系統(tǒng)”—“管理”—“SELinux故障診斷”會出現(xiàn)如圖11-1所示界面，可以查看出錯的原因圖11-111.3SELinux配置管理

11.3.5使用SELinux圖形界面配置工具單擊“系統(tǒng)”—“管理”—“SelinuxManagegement”會出現(xiàn)圖11.2中所示界面，可以設(shè)置是否開啟強(qiáng)制使用SELinux模式，圖中所示為選擇強(qiáng)制模式

。圖11-211.3SELinux配置管理

11.3.5使用SELinux