RHEL7 學習筆記（21) - SELinux

RHEL7 學習筆記（21) - SELinux

這一節和老師學習了SELinux的基本知識。

SELinux的全稱是Security Enhanced Linux, 直譯就是安全加強的Linux。在SELinux之前，root賬號能夠任意的存取所有文件和服務；如果某個檔案設為777，那麼任何使用者都可以存取甚至刪除；這種方式稱為DAC（主動存取機制），很不安全；SELinux則是基於MAC（強制存取機制），簡單的說，就是程式和存取物件上都有一個標籤進行區分，只有對應的標籤才能允許存取。否則即使許可權是777，也是不能存取的。

SELinux安全上下文初探 http://www.linuxidc.com/Linux/2014-04/99508.htm

一次由SELinux引起的SSH公鑰認證失敗問題 http://www.linuxidc.com/Linux/2013-07/87267.htm

SELinux 入門教學 http://www.linuxidc.com/Linux/2013-04/82371.htm

SELinux簡單設定 http://www.linuxidc.com/Linux/2012-12/77032.htm

CentOS系統如何快速關閉SELinux http://www.linuxidc.com/Linux/2012-11/74613.htm

這個標籤在程式或者進程上叫做domain（域），在存取物件或者檔案上叫做context （上下文）。

檢視上下文可以通過ls -Z，檢視域可以使用 ps Z， 我高亮的部分就是他的上下文了

以httpd為例，這個httpd的進程只能允許存取/var/www/html下的文件物件。

下面做個小實驗，新建一個index.html文件，開啟沒有問題

在root的家目錄下建立一個index2.html文件，並剪下到/var/www/html目錄下，可以發現其預設的上下文是繼承 /home的，標籤不匹配，因此無法存取

我甚至收到了SELinux的警告資訊，開啟看看

在 /var/log/audit/audit.log 也可以檢視這個報錯

更多詳情見請繼續閱讀下一頁的精彩內容： http://www.linuxidc.com/Linux/2015-02/112764p2.htm