selinux
SELinux - NSA Security-Enhanced Linux (SELinux)
[root@lb-1 nongda]# getenforce 查看selinux安全机制是否开启
Disabled
永久修改selinux策略为disabled --> 禁用selinux安全机制
[root@sanchuang ~]# vim /etc/selinux/config
SELINUX=disabled
[root@sanchuang ~]# reboot 重新启动生效
[root@sanchuang ~]# getenforce
Disabled
临时调整selinux安全策略
[root@sanchuang ~]# setenforce 0 临时关闭
[root@sanchuang ~]# getenforce
Permissive
[root@sanchuang ~]# setenforce 1 临时启用
[root@sanchuang ~]# getenforce
Enforcing
SELinux 是 2.6 版本的 Linux 内核中提供的强制访问控制(MAC)系统。
在使用了 SELinux 的操作系统中,决定一个资源是否能被访问的因素除了上述因素之外,还需要判断每一类进程是否拥有对某一类资源的访问权限。
这样一来,即使进程是以 root 身份运行的,也需要判断这个进程的类型以及允许访问的资源类型才能决定是否允许访问某个资源。进程的活动空间也可以被压缩到最小。
即使是以 root 身份运行的服务进程,一般也只能访问到它所需要的资源。即使程序出了漏洞,影响范围也只有在其允许访问的资源范围内。安全性大大增加。
这种权限管理机制的主体是进程,也称为强制访问控制(MAC)。
selinux的特点:
SELinux系统比起通常的Linux系统来,安全性能要高的多,它通过对于用户,进程权限的最小化,即使受到攻击,进程或者用户权限被夺去,也不会对整个系统造成重大影响。