了解学习SELINUX
前言
在安装cacti 0.8.7e的过程中,当安装插件时,打patch之后,globe.php中的url_path也做了更正后,依然不能打开页面,会出现“403 Forbidden 禁止访问的问题”,在logs中显示:
Permission denied: access to /cacti/index.php denied
经查相关目录和文件的权限都是755,可是还是出现这种问题。
再仔细查看 cat /etc/httpd/logs/error_log 日志,又发现有:
SELinux policy enabled; httpd running as context root:system_r:httpd_t:s0的告#,
最后,找到问题的根源,将selinux给disable后,就OK了。
(在安装过程中,可以选择“激活”、“警告”或者“关闭”SELinux。默认设置为“激活”。)
方法:
# system-config-securitylevel
或是:
# vi /etc/selinux/config
更改
SELINUX=disabled
SELinux基本知识
对于SELINUX,一定要了解学习一下以下的基本知识。
现在各种linux新的版本中都集成了对SELINUX的支持。
SELinux:Security-Enhanced Linux,增强安全性的Linux。由美国国家安全局NSA开发的访问控制体制。
SELinux可以最大限度地保证Linux系统的安全。没有SELinux保护的Linux的安全级别和Windows一样,是C2级,但经过保护SELinux保护的Linux,安全级别则可以达到B1级。
SELinux的策略分为两种,一个是目标(targeted)策略,另一个是严格(strict)策略。有限策略仅针对部分系统网络服务和进程执行SELinux策略,而严厉策略是执行全局的NSA默认策略。有限策略模式下,9个(可
能更多)系统服务受SELinux监控,几乎所有的网络服务都受控。配置文件是/etc/selinux/config,一般测试过程中使用“permissive”模式,这样仅会在违反SELinux规则时发出警告,然后修改规则,最后由用户觉得是否执行严格“enforcing”的策略,禁止违反规则策略的行为。规则决定SELinux的工作行为和方式,策略决定具体的安全细节如文件系统,文件一致性。
如:我们把/tmp目录下的所有文件和目录权限设置为0777,这样在没有SELinux保护的情况下,任何人都可以访问/tmp 下的内容。而在SELinux环境下,尽管目录权限允许你访问/tmp下的内容,但SELinux的安全策略会继续检查你是否可以访问。
SELinux相关命令:
ls -Z //查看文件的SELinux属性。
ps -Z //查看进程的SELinux属性。
id -Z //查看用户的SELinux属性。
chcon //改变文件的SELinux属性。
getenforce //查看SELinux的当前工作模式。
setenforce //设置SELinux的当前工作模式。
修改配置文件/etc/selinux/config后,需要重启系统来启动SELinux新的工作模式。
阅读(8777) | 评论(0) | 转发(1) |
