SELinuxのセキュリティサブシステム
SELinuxは(Linuxのセキュリティが強化さ)オープンソースLinuxコミュニティのセキュリティサブシステムの助けを借りて開発された、米国国家安全保障局(NSA)の強制アクセス制御(MAC、強制アクセス制御)です。SELinuxの技術RHEL 7システムを使用する目的は、それが取得している必要があるリソースを取得するだけで、各サービスのプロセスが制約されるようにすることです。
たとえば、あなたは、写真の美しさにうっとりの注意を払ってそれを使用するコンピュータソフトウェア水戸、上ダウンロードし、それは静かにバックグラウンドで、パスワード情報をリッスン明らかにすべきではないブラウザで入力しますそれが行う必要があります。SELinuxのセキュリティサブシステムは、それが多くの点で違法行為を監視することができ、このような状況を防ぐように設計されています。サービスプログラムの制限の機能は、(SELinuxのドメインの制限がサービスプログラムは、とんでもないことを行うことができないことを保証することができ);ファイルリソースへのアクセスを制限(ファイルにのみアクセス可能であること、そのサービスプログラム所属の資源を確保するためのSELinuxのセキュリティコンテキスト)。
SELinuxのサービスを三つのモード:
- 強制:セキュリティ方針モデル、切片違法要求するサービスを適用します。
- 許容:問題にのみ警告、傍受を強制せずに不正アクセスサービスの顔、。
- 無効:越権の行為がない切片に警告されていなかったため。
私はここに(あなたがサービスマスター設定ファイルは/ etc / selinuxに/設定を表示することができます)デフォルトを強制されています。
viのは/ etc / selinuxに/設定 再起動 |
現在の動作モードSELinuxの変更禁止(コマンドsetenforce [0|1]
、無効0、有効1)、変更はシステムの再起動後に期限切れ
あなたはgetenforceコマンドで実行SELinuxのサービスのステータスを表示することができます。
# setenforce 0
# getenforce
Permissive
デフォルトのSELinuxは確かにサイトを操作するユーザの要求をリリースしますので、アクセスウェブサイトのコンテンツにユーザーを可能にする機能のhttpdサービスプログラム。しかし、我々は/ホーム/ wwwrootのを修正するために、デフォルトのデータディレクトリのウェブサイトが保存されますが、これは問題を生成します。/ホームディレクトリは、ユーザのホームディレクトリの一般的なデータを格納するために使用され、そして今、このサイトは、データ、明らかにSELinuxの規制の原則に違反している平均的なユーザーのホームディレクトリを、取得するつもりサービスのhttpdを提供してきました。
SELinuxはセキュリティポリシーモードが有効になって強制し、次にあなたが現在のデータを持っているかどうか、ディレクトリのウェブサイトの保存異なる値SELinuxのセキュリティコンテキストで、元のサイトのデータを保存するディレクトリを表示するサービスを復元するには:
#lsの-zd / var / www / htmlと設定
drwxr-XR-X。ルートルートsystem_u:object_r:のhttpd_sys_content_t:S0は/ var / www /のHTM
#lsの-zd /ホーム/ safiri
drwx ------。safiri safiri unconfined_u:object_r:user_home_dir_t:S0 /ホーム/ safiri
ユーザーセグメントsystem_u
のアイデンティティの役割セグメントは、システムが処理を表すobject_r
役割セグメントは、ファイル・ディレクトリの種類を表すhttpd_sys_content_t
サイトのシステムファイルとサービスの代わりにします。
現状のこの見解は、我々は唯一のsemanageコマンドを使用する必要があり、現在のサイトのディレクトリ/ home / wwwrootにSELinuxのセキュリティコンテキストの変更は、その上に、元のWebサイトのディレクトリと同じです。
semanageコマンド
形で、SELinuxのポリシーを管理するためのSemanageコマンド「semanage [オプション] [ファイル]。」共通のパラメータと機能:-lクエリは、-aは-m、変更、削除-d、コメントを追加します
、新しいSELinuxのセキュリティコンテキストで新しいサイトのデータディレクトリに追加するようにディレクトリとのhttpdサービスプログラムにアクセスすることができ、すべてのファイル:
インストールsemanage
#yumのはsemanageを提供します
***********
*********
****内容は省略****
***********
#ファイル名:は/ usr / sbinに/ semanage
上記のコマンドが成功した後、その後、実行します
。#yumを-y policycoreutils-python.x86_64をインストール
あなたはseinfo / sesearchインストールするために使用することができる
。#yumをsetools-console.x86_64をインストール