linux详解及配置⽂件
linux详解
linux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有⽂档和服务;
如果某个⽂件设为777,那么任何⽤户都可以访问甚⾄删除。这种⽅式称为DAC(主动访问机制),很不安全。
bunchDAC⾃主访问控制:⽤户根据⾃⼰的⽂件权限来决定对⽂件的操作,也就是依据⽂件的own,group,other/r,w,x 权限进⾏限制。Root有最⾼权限⽆法限制。r,w,x权限划分太粗糙。⽆法针对不同的进程实现限制。
Selinux则是基于MAC(强制访问机制),简单的说,就是程序和访问对象上都有⼀个安全标签(即linux上下⽂)进⾏区分,只有对应的标签才能允许访问,否则即使权限是777,也是不能访问的。
在linux中,访问控制属性叫做安全上下⽂,所有客体(⽂件、进程间通讯通道、套接字、⽹络主机等)和主体(进程)都有与其关联的安全上下⽂,⼀个安全上下⽂由三部分组成:⽤户(u)、⾓⾊(r)、和类型(t)标识符。但我们最关注的是第三部分ingredients
副教授英文缩写
当程序访问资源时,主体程序必须要通过linux策略内的规则放⾏后,就可以与⽬标资源进⾏安全上下⽂的⽐对,若⽐对失败则⽆法存取⽬标,若⽐对成功则可以开始存取⽬标,最终能否存取⽬标还要与⽂件系统的rwx权限的设定有关,所以启⽤了linux后出现权限不符的情况时,你就得⼀步⼀步分析可能出现的问题了。
1.linux状态查看与配置:
linux的配置⽂件位置:/etc/linux/config,它还有个链接在/etc/sysconfig/linux.
bent使⽤config⽂件来配置linux(通过配置⽂件修改linux的状态属于永久修改,要重启系统才⽣效)
sars是什么意思[root@localhost ~]# ls /etc/sysconfig/linux -l
lrwxrwxrwx. 1 root root 17 Jan 10 19:48 /etc/sysconfig/linux -> ../linux/config
(1)配置⽂件
[root@make_blog ~]# cat /etc/sysconfig/linux
# This file controls the state of SELinux on the system.
# SELINUX= can take one of the three values:
# enforcing - SELinux curity policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
# targeted - Targeted process are protected,
# minimum - Modification of targeted policy. Only lected process are protected.
# mls - Multi Level Security protection.
宁波英语口语培训SELINUXTYPE=targeted
linux=enforcing
#此项定义linux状态
#enforcing-是强制模式系统,它受linux保护。就是违反了策略你就⽆法继续操作下去。
#permissive-是提⽰模式系统不会受到linux保护,只是收到警告信息。permissive就是linux有效,但是即使你违反了策略的话它让你继续操作,但是把你违反的内容记录下来(警告信息)
#disabled-禁⽤linux
linuxtype=targeted
#此项定义linux使⽤哪个策略模块保护系统。targeted只对Apache,ndmail,bind,postgresql,nfs,cifs等⽹络服务保护。队长的英文
以上策略配置都放置在/etc/linux⽬录中,⽬录和策略名称相同。
使⽤linux相关命令查看和修改状态:(属于⽴即⽣效但临时性的)
(2)查看⼯作状态
psycho是什么意思
英文信件getenforce查看linux状态
[root@make_blog ~]# getenforce
Disabled
usgatenforce设定linux运⾏状态,1开启(Enforce),0关闭(Permissive)
[root@localhost datas]# tenforce
usage: tenforce [ Enforcing | Permissive | 1 | 0 ] [root@localhost ~]# tenforce 0
[root@localhost ~]# getenforce
Permissive
[root@localhost ~]# tenforce 1
[root@localhost ~]# getenforce
Enforcing
