selinux的工作模式
-
Disable (关闭模式)
Selinux被关闭,默认的DAC访问控制方式被使用。
-
Permissve(宽容模式)
SELinux 被启用,但安全策略规则并没有被强制执行。
-
Enforce(强制模式)
SELinux 被启动,并强制执行所有的安全策略规则。
查看selinux工作模式:getenforce
设置selinux工作模式:setenforce 0 Permissve ; setenforce 1 Enforcing
设置selinux工作模式为 Disable :修改ext/selinux/config 文档
system_u:object_r:httpd_sys_content_t:s0:[类别] #身份字段:角色:类型:灵敏度:[类别]
-
身份字段(user):表示数据/进程被哪个身份所拥有,如:系统数据 system_u, 用户数据: user_u.
-
角色(role): 表示此数据是进程还是文件或目录
如:object_r:代表该数据是文件或目录,这里的“_r”代表 role。
system_r:代表该数据是进程,这里的“_r”代表 role。
-
类型(type):类型字段是安全上下文中最重要的字段,进程是否可以访问文件,主要就是看进程的安全上下文类型字段是否和文件的安全上下文类型字段相匹配,如果匹配则可以访问。
注:类型字段在文件或目录的安全上下文中被称作类型(type),而进程的安全上下文中被称作域(domain)。也就是说,在主体(Subject)的安全上下文中,这个字段被称为域;在目标(Object)的安全上下文中,这个字段被称为类型。域和类型需要匹配(进程的类型要和文件的类型相匹配),才能正确访问。
-
灵敏度:灵敏度一般是用 s0、s1、s2 来命名的,数字代表灵敏度的分级。数值越大,代表灵敏度越高