- 1、本文档共253页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
设置ACL 访问控制列表(ACL) 为多用户或者组的文件和目录赋予访问权限rwx mount -o acl /directory getfacl file |directory setfacl -m u:gandolf:rwx file|directory setfacl -m g:nazgul:rw file| directory setfacl -m d:u:frodo:re directory setfacl -x u:samwise file |directory setfacl -m m:rwx file 设置默认权限,默认权限没有设置,但表这个用户的拥有者的权限 -m:设置ACL权限 -x: 取消ACL权限 查看ACL权限 显示的数据前面加上 # 的,代表这个文件的默认属性,包括文件名、文件拥有者与文件所属群组。 底下出现的 user, group, mask, other 则是属于不同使用者、群组与有效权限(mask)的设定值。 访问控制列表(ACL) ACL访问控制列表里的mask Mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission) 用户或组的设置必须存在于mask权限设定范围内才会生效。 setfacl -m mx:rx file RH135 –红帽Linux系统管理 Ⅱ 单元12 管理SELINUX 李 伟 阶 mail 目标 学习了本单元以后,你应该能够: 开启/关闭selinux 文件安全行文 调整布尔值 故障排除的日志 Selinux原理图 主体与目标的安全上下行文必须一致才能够顺利访问。 重点在主体如何取得目标的资源访问权限,主题程序必须要通过selinux SELinux 对比强制访问控制(MAC)和随机访问控制(DAC) 一组叫做“策略(policy)”的规则会决定控制的严格程度 进程要么被限制的,要么是无束缚的 策略被用来定义被限制的进程能够使用那些资源 默认情况下,没有被明确允许的行为将被拒绝执行 SELinux续 所有文件和进程都具备“安全环境”(security context) 环境根据安全需要有集中元素 user:role:type:sensitivity:category user_u:object_r:tmp_t:s0:c0 不是所有的系统都会显示s0:c0 ls -Z ps -Z SELinux:目标策略 目标策略在安装时被载入 多数本地进程都属于自由(unconfined)进程 可以使用chcon命令来改变安全环境 chcon -t tmp_t /etc/hosts chcon --reference=/etc/passwd /var/www/html/index.html 使用restorecon更安全,能回复默认的安全行文 restorecon -Rv /etc/hosts SELinux:管理 模式:强制(enforcing)、允许(Permissive)、禁用(Disabled) 目标策略允许改变强制属性 getenforce setenforce 0 |1 使用selinux=0在GRUB中禁用SELinux /etc/sysconfig/selinux system-config-securitylevel 更改模式、禁用需要重启后生效 system-config-selinux Booleans setroubleshoot 建议如何避免出错,而不是确保安全 SELinux所需要的服务 yum install setroublesshoot 将错误的信息写入/var/log/message RHEL6中setroubleshoot不在系统中作为一个独立服务存在! auditd 讲详细的数据写入到/var/log/audit/audit.log service auditd start service rsyslog start 通过sealert -l查看如何安全规则 SELINUX的策略与管理 RHEL默认使用targeted的策略,这个策略提供多少相关规则呢? yum install setools-console 必须安装这个包才能支持以下的命令行工具! seinfo --all 列出SELINUX的状态、规则布尔值、角色类型等所有的信息 -b 列出所有规则的种类(布尔值) seinfo -t |grep httpd: 可以找到和httpd 相关的安全类型
文档评论(0)