SELinux是一种基于策略的MAC安全系统,是以Linux内核可加载模块的形式提供的,其全称是Security Enhanced Linux,由美国国家安全局(NSA)和SCC开发。Linux从2.6版本开始引用SELinux,大多数Linux发行版都会集成SELinux。
开启SELinux:
1. 打开/etc/sysconfig/selinux
将SELINUX=enforcing改为SELINUX=disable
2. 重启系统
因为开启或关闭SELINUX都需要内核重新加载模式,所以需要重启系统。
与enforcing相对应的是permissive模式,该模式并不表示系统真正受到SELinux的保护,它只是显示一些相关信息状态,并不做什么。但从permissive到enforcing模式就不需要重启系统了。在permissive和enforcing模式之间切换可通过setenforce命令来完成:
setenforce 1 #enforcing模式
setenforce 0 #permissive模式
可以通过sestatus命令查看SELinux是否启动成功,要通过getenforce查看SELinux的工作模式是permissive还是enforcing。
3. SELINUXTYPE
在/etc/sysconfig/selinux中,有SELINUXTYPE=targeted,主要用于选择MAC策略方案。CentOS6提供了三个策略套件,分别是targeted、mls和minimum。
targeted是最常用的,也是系统默认的,重点是对网络服务的严格限制,在尽可能不影响用户的前提下尽多的保护关键进程,CentOS 4 只定义了15个targets,包含httpd、named、dhcpd和mysqld,现在已超过200个。
msl:允许用户是使用多策略,在不对安全性策略进行破坏地改变就能使MLS生效。
minimum: 只要求安装base policy软件包,包含targeted策略的软件包进行后安装再加载到内核中。
参考:《Linux就是这个范儿》
阅读(769) | 评论(0) | 转发(0) |
