理解SElinux
时间:2014-10-07 10:59 来源:linux.it.net.cn 作者:it
理解SElinux
1.传统的权限使用读、写和执行的方式控制着用户对资源(文件及目录)的访问。
2.selinux使用selinux用户、角色、类型和级别控制进程对资源(文件及目录)的访问。
SElinux属性格式:
SElinux User:Role:Type:Level
3.在支持SElinux的Linux系统中,用户有系统用户和SElinux用户之分,
SElinux用户是SElinux策略的要素,与linux系统的用户存在一种映射关系。
每个linux用户可以映射为一个selinux用户,查看他们之间的映射使用命令:
semanage
selinux策略定义了大量受限制的SElinux用户,linux用户可以映射到受限制的SElinux用户:例如
映射为SElinux用户的user_u的linux用户通常不能运行setuid程序,也不能运行su或sudo命令,
从而防止用户轻易获取root权限。
4.所有的进程与文件都有一个类型标记,
类型定义了进程的作用域和文件的访问访问,从而隔离进程的运行空间。
5.
查看所有活动进程的SElinux属性的命令:
ps -eZ
查看linux用户的SElinux属性的命令:
id -Z
查看文件的SElinux使用命令:
ls -Z 文件
6.针对主体(进程)的访问决策需要考虑所有的SElinux属性,
针对对象(文件及目录)的访问决策也需要考虑所有的SElinux;
在类型强制的SElinux环境中,所有主体和对象都有一个类型,
利用类型实行SElinux策略的强制规则,
因此有时很难区分主体(进程)和对象(文件);
为了区别进程及文件一般把进程类型的类型称为域。
(责任编辑:IT)
理解SElinux 1.传统的权限使用读、写和执行的方式控制着用户对资源(文件及目录)的访问。
2.selinux使用selinux用户、角色、类型和级别控制进程对资源(文件及目录)的访问。 SElinux属性格式: SElinux User:Role:Type:Level
3.在支持SElinux的Linux系统中,用户有系统用户和SElinux用户之分, SElinux用户是SElinux策略的要素,与linux系统的用户存在一种映射关系。 每个linux用户可以映射为一个selinux用户,查看他们之间的映射使用命令:
semanage
映射为SElinux用户的user_u的linux用户通常不能运行setuid程序,也不能运行su或sudo命令, 从而防止用户轻易获取root权限。
4.所有的进程与文件都有一个类型标记, 类型定义了进程的作用域和文件的访问访问,从而隔离进程的运行空间。
5. 查看所有活动进程的SElinux属性的命令: ps -eZ 查看linux用户的SElinux属性的命令:
id -Z
ls -Z 文件
6.针对主体(进程)的访问决策需要考虑所有的SElinux属性, 针对对象(文件及目录)的访问决策也需要考虑所有的SElinux; 在类型强制的SElinux环境中,所有主体和对象都有一个类型, 利用类型实行SElinux策略的强制规则, 因此有时很难区分主体(进程)和对象(文件); 为了区别进程及文件一般把进程类型的类型称为域。 (责任编辑:IT) |