版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
SELinux 全程为 Security-Enhanced Linux 是美国国家安全局在Linux社区帮助下开发的一个强制访问控制的安全子系统,SELinux属于MAC强制访问控制(让系统中的各个服务进程都受到约束,仅能访问到所需要的文件。)
SELinux 的三种模式:(有时关闭SELinux后确实能够减少报错几率,导致该功能在很多服务器中直接被禁用)
①enforcing :安全策略强制启用模式,将会拦截服务的不合法请求。
②permissive:遇到服务越权访问只会发出警告而不强制拦截。
③disabled:对于越权的行为不警告,也不拦截。
getenforce 查看当前 SELinux服务状态
禁止 SELinux 服务:
开启 SELinux 服务:
开启 SELinux 的允许策略:
SELinux 安全策略包括:域 和 安全上下文
① SELinux 域:对进程资源进行限制(查看方式:ps -Z)
② SELinux 安全上下文:对系统资源进行限制(查看方式:ls -Z)
SELinux 安全上下文是由冒号间隔的四个字段组成,以原始网站数据目录的安全上下文为例:
semanage 命令 查询与修改 SELinux 的安全上下文,格式为:semanage [选项] [文件]
restorecon 命令 恢复 SELinux 文件安全上下文,格式为:restorecon [选项] [文件]
修改网站数据目录的安全上下文:(* 代表所有文件或目录)
