selinux我个人理解是linux的一个内核模块,在centos5.x版本的时候selinux就已经非常的成熟和完善了。selinux的英文全称是 Securtiy Enhanced Llinux。中文翻译就是安全强化的linux。好理解吧。
selinux是美帝国家安全局NSA牵头开发的。这个单位大家都听说过,就是复仇者联盟上的哪个,呵呵。不扯淡了。当初为何要设计selinux呢,是因为很多企业linux系统出问题,不是外部攻击造成的,而是有内部误操作造成的。所谓的误操作就是管理员为了方便把目录权限设置过大,假如说777,那么就像tmp文件一样了,谁都可以写内容进入,给你挂个马什么的是分分钟的事情。为了控制这个方面的权限和进程的问题,NSA就牵头搞事了,既然linux是开元的,selinux肯定也是开元的,作为一个模块使用,方便的很。切记没事不要关闭selinux。selinux是进程和目录之间的一道防火墙。非常重要。
selinux和权限有关,举例来说,根据规则不同的服务进程限定了指定目录的权限,无法访问其他目录。如果要强行访问,需要设置模式。即使该服务被取得了控制权也无法访问其他的目录。就是这意思。假如黑客控制了你的httpd或者vsFTPd等服务,但是无法访问/etc/下的其他配置文件。
selinux的查看 启动 关闭
不是说不让随意关闭selinux吗,现在咱们是学习,又不是生产服务器。来吧。
分别如下:
enforcing:强制模式,代表 SELinux 运行中,且已经正确的开始限制 domain/type 了;
permissive:宽容模式:代表 SELinux 运行中,不过仅会有警告信息并不会实际限制 domain/type 的存取。这种模式可以运来作为 SELinux 的 debug 之用;
disabled:关闭,SELinux 并没有实际运行。
想知道是否运行。执行getenforce 命令
selinux启动于关闭
1、SELinux 是整合到核心里面去的,更改策略就需要重启linux。
网上有些说法:
临时关闭SELinux
setenforce 0
临时打开SELinux
setenforce 1
其实应该这么理解
[root@www.kkpan.com ~]# setenforce [0|1]选项与参数: 0 :转成 permissive 宽容模式; 1 :转成 Enforcing 强制模式
将 SELinux 在 Enforcing 与 permissive 之间切换与观察
[root@www ~]# setenforce 0 [root@www ~]# getenforce Permissive[root@www ~]# setenforce 1 [root@www ~]# getenforce Enforcing
getenforce 获得当前状态
setenforce 设置模式
sestatus 列出目前的 SELinux 使用哪个政策 (Policy)
vi /etc/selinux/config 配置文件(SELINUX=disables)就是开机不启动。