Linux入门之Selinux命令集

时间:2013-05-09 17:36来源:网络资源 作者:larran 点击:

    Linux入门命令学习之Selinux命令,今天为大家汇总整理了Selinux命令集,希望对大家有所帮助!
   
    一、相关命令集:
    sestatus

    getenforce

    setenforce  0/1

    id/ls/ps -Z    查看对象

    chon [OPTION]   CONTEXT FILES     / chon [OPTIONS] --reference=REF_FILES FILES

    -f  强迫执行,即使有错误信息也不显示出来

    -l  range 指定以range作为安全值范围

    -R 递归

    -r ROLE 修改角色原则

    -t TYPE 只修改类型原则

    -u USER 只修改用户原则

    -v 显示冗长(Verbose)原则

    例: chcon -u system_u -t httpd_t file

    chcon root:object_r:user_home_t file

    matchpathcon  [ -a | -V ] file  找出默认原则 -a不显示路径名称;-V检查是否符合定义

    fixfiles [-R PACKAGES…] [check | restore] 修复RPM包提供的文件安全原则

    restorecon [OPTIONS] files 还原: -f listfile(以文件代替Files),-o:输出到文件,-v:显示不愿的文件,-i 忽略不存在的文件重新产生所有默认的安全原则:产生一个空的  /.autorelabel 文件,再重启。这会花费很长时间。

    seinfo  [OPTIONS] [POLICY_FILE] 查看安全原则信息

    sesearch [ -a| --allow | --audit | --neverallow | --type | -s NAME | -t NAME ] [POLICY_FILE]

    如:sesearch -a -s httpd_t -t etc_t /etc/selinux/targeted/policy/policy.21getsebool

    setsebool [-P] sebool=value    -P表示开机后仍生效,不加只是当前生效

    system-config-selinux 仅图形界面下的工具

    sealert     需要安装 setroubleshoot 包

    grep httpd /var/log/audit/audit.log | audit2allow -M mypol;  semodule -i mypol.pp

    二、概念:
    DAC(Discretionary Access Control)任意读取控制

    --》ACL(访问控制列表),是DAC的延伸

    MAC(Mandatory Access Control)强制性读取控制

    --》RBAC(Role-Based)角色基础,以用户所属角色来判断

    --》 MLS(Multi-Level Security)多层次安全,定义了不同的访问等级

    安全原则:

    targeted: 用来保护常见的网络服务;

    strict:用来提供符合RBAC机制的安全性;

    mls:提供符合 MLS 机制的安全性

    读取向量缓存(Access Vector Cache)暂存SELinux策略变量到内存中,以加快查询速度
 
 
 
 
分享到:

凌阳教育嵌入式培训——全国唯一“原厂嵌入式培训”机构,全国唯一“按班公布学员就业去向”的诚信机构

关注我们:

全国免费咨询电话:156-0117-5697或010-62981113(转2824) 服务监督电话:010-62981113-2800

京ICP备09010168号  京公网安备11010802010586号

北京嵌入式培训中心:海淀区上地信息产业基地中黎科技园1号楼3层A段

Copyright © 2017 SunplusEdu Inc. All Rights Reserved