linux课程资源Selinux配置(2)
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
模块3 LINUX网络管理及 服务配置
主讲人:芮坤坤
Network Optimization Expert Team
3.8 Linux Selinux 配置
Network Optimization Expert Team
3.8.2 Selinux模式
SELinux有3种工作模式,分别是强制模式、许可模式和禁用模式。 (1)强制模式(Enforcing Mode ) 强制模式表示启用SELinux,记录违规日志,并强制拒绝违规操 作。 在强制模式下,Linux内核会加载SELinux安全子系统,当主体访 问对象时,Linux 内核会先经过传统的权限检查,如果传统权 限允许操作,SELinux子系统会进行策略判断,如果找到相关 的允许规则,则可以操作,如果规则不允许,或没有相关的规 则,则会拒绝操作。同时,SELinux还会把违规事件记录到日 志系统中。 SELinux 强制模式的示意图可以参考图 9-2,强制模式会对系统提 供保护,实际上就是完全启用了SELinux。
Network Optimization Expert Team
3.8.2 Selinux模式
(3)禁用模式(Disabled Mode ) 禁用模式表示完全禁用SELinux,系统不受 SELinux 的保护。 在禁用模式下,Linux内核不会加载SELinux安全 子系统,就像没有安装SELinux一样。需要注 意的是,如果将SELinux的模式从强制或许可 模式转换到禁用模式,必须要重新启动系统。
Network Optimization Expert Team
3.8.2 Selinux模式
(3)禁用模式(Disabled Mode ) 禁用模式表示完全禁用SELinux,系统不受 SELinux 的保护。 在禁用模式下,Linux内核不会加载SELinux安全 子系统,就像没有安装SELinux一样。需要注 意的是,如果将SELinux的模式从强制或许可 模式转换到禁用模式,必须tion Expert Team
3.8.2 Selinux模式
(2)许可模式(Permissive Mode ) 许可模式表示启用SELinux,记录违规日志,但会允许 所有违规操作。 在许可模式下,Linux内核也会加载SELinux 安全子系统, 许可模式与强制模式的区别在于,如果发生违规行为, SELinux 还是会允许操作,就像是没有开启 SELinux。 但是许可模式会把违规事件记录到日志系统中,所以 这个模式通常用于对问题进行故障排除,用来确定故 障到底是系统服务的问题,还是SELinux的问题。如 果在强制模式下,无法完成某种操作,可以将 SELinux 模式转换为许可模式,如果问题解决了,说 明需要对SELinux 进行一些配置,允许所需要的操作。
Network Optimization Expert Team
3.8.2 Selinux模式
在Red Hat系列的Linux操作系统中,SELinux的配置 文件是“/etc/selinux/config”
在这个配置文件中,提供了两个配置参数。 (1)SELINUX=enforcing 指定系统的SELinux 模式,可以选择的模式包括 enforcing、 permissive和disabled,分别代表强制模式、许可模式和禁 用模式。 这个配置能够控制系统在启动时应该使用的SELinux模式,如果 打算长期使用某种SELinux模式,应该修改这个配置文件。但 是,修改了“/etc/selinux/config”之后,必须重新启动系 统,才能让SELinux转换到指定的工作模式。 (2)SELINUXTYPE=targeted 指定SELinux在启动时要加载的安全策略,可以选择的安全策略 包括targeted 和strict。SELinux默认会加载targeted安全策 略,对常见的网络服务提供保护,targeted安全策略的规则 数据库文件位于“/etc/selinux/targeted”目录中。
Network Optimization Expert Team
主讲人:芮坤坤
Network Optimization Expert Team
3.8 Linux Selinux 配置
Network Optimization Expert Team
3.8.2 Selinux模式
SELinux有3种工作模式,分别是强制模式、许可模式和禁用模式。 (1)强制模式(Enforcing Mode ) 强制模式表示启用SELinux,记录违规日志,并强制拒绝违规操 作。 在强制模式下,Linux内核会加载SELinux安全子系统,当主体访 问对象时,Linux 内核会先经过传统的权限检查,如果传统权 限允许操作,SELinux子系统会进行策略判断,如果找到相关 的允许规则,则可以操作,如果规则不允许,或没有相关的规 则,则会拒绝操作。同时,SELinux还会把违规事件记录到日 志系统中。 SELinux 强制模式的示意图可以参考图 9-2,强制模式会对系统提 供保护,实际上就是完全启用了SELinux。
Network Optimization Expert Team
3.8.2 Selinux模式
(3)禁用模式(Disabled Mode ) 禁用模式表示完全禁用SELinux,系统不受 SELinux 的保护。 在禁用模式下,Linux内核不会加载SELinux安全 子系统,就像没有安装SELinux一样。需要注 意的是,如果将SELinux的模式从强制或许可 模式转换到禁用模式,必须要重新启动系统。
Network Optimization Expert Team
3.8.2 Selinux模式
(3)禁用模式(Disabled Mode ) 禁用模式表示完全禁用SELinux,系统不受 SELinux 的保护。 在禁用模式下,Linux内核不会加载SELinux安全 子系统,就像没有安装SELinux一样。需要注 意的是,如果将SELinux的模式从强制或许可 模式转换到禁用模式,必须tion Expert Team
3.8.2 Selinux模式
(2)许可模式(Permissive Mode ) 许可模式表示启用SELinux,记录违规日志,但会允许 所有违规操作。 在许可模式下,Linux内核也会加载SELinux 安全子系统, 许可模式与强制模式的区别在于,如果发生违规行为, SELinux 还是会允许操作,就像是没有开启 SELinux。 但是许可模式会把违规事件记录到日志系统中,所以 这个模式通常用于对问题进行故障排除,用来确定故 障到底是系统服务的问题,还是SELinux的问题。如 果在强制模式下,无法完成某种操作,可以将 SELinux 模式转换为许可模式,如果问题解决了,说 明需要对SELinux 进行一些配置,允许所需要的操作。
Network Optimization Expert Team
3.8.2 Selinux模式
在Red Hat系列的Linux操作系统中,SELinux的配置 文件是“/etc/selinux/config”
在这个配置文件中,提供了两个配置参数。 (1)SELINUX=enforcing 指定系统的SELinux 模式,可以选择的模式包括 enforcing、 permissive和disabled,分别代表强制模式、许可模式和禁 用模式。 这个配置能够控制系统在启动时应该使用的SELinux模式,如果 打算长期使用某种SELinux模式,应该修改这个配置文件。但 是,修改了“/etc/selinux/config”之后,必须重新启动系 统,才能让SELinux转换到指定的工作模式。 (2)SELINUXTYPE=targeted 指定SELinux在启动时要加载的安全策略,可以选择的安全策略 包括targeted 和strict。SELinux默认会加载targeted安全策 略,对常见的网络服务提供保护,targeted安全策略的规则 数据库文件位于“/etc/selinux/targeted”目录中。
Network Optimization Expert Team