18、高级实用工具概述:SELinux与Firewalld深度解析
高级实用工具概述:SELinux与Firewalld深度解析
1. SELinux基础与模式切换
SELinux(Security-Enhanced Linux)是一种增强型的安全机制,它在用户设置的自由访问控制之外提供了重要的安全层。目标策略规则允许以httpd_t运行的进程访问具有httpd_sys_content_t上下文的文件和目录,但不允许访问/tmp/和/var/tmp/中的文件或目录。这意味着即使恶意用户攻破了Web服务器,也无法在/tmp/或/var/tmp目录中创建或写入文件,其造成的损害将仅限于/var/www/html文件夹。
SELinux有三种操作模式,具体如下表所示:
| SELinux模式 | 描述 |
| — | — |
| Enforcing | 规则可用并应用,SELinux记录活动并保护系统。 |
| Permissive | 规则可用但不应用,主要用于故障排除。在此模式下,SELinux记录被拒绝的操作,且无需重启系统即可在Enforcing和Permissive模式之间切换。 |
| Disabled | 规则不可用,完全禁用SELinux。禁用或从Enforcing或Permissive模式切换到Disabled模式需要重启系统,因为它会完全重新标记文件。 |
我们可以使用setenforce命令在运行时更改SELinux模式,