SELinux 的基本概念和应用

liuziyang

自Redhat Linux企业版本发布以后，我们就会在使用Linux多了一个安全选择--SELinux.

关于SELinux的概念我们可以从网上找到很多文章的转载和翻译，这里我想通过一些简单的例子说明这个SELinux在现实应用中的效果，这样可以更有利于对SELinux的理解

1. 文件安全性的保护
Apache可以发布其WEB目录下的任何文件，只要apache用户对这个文件有读取的权限。这时如果某个文件存在对服务器具有攻击行为的代码他也会被执行；或者root用户放在这个目录下的一个‘敏感’文件也同时可以被任何WEB CLIENT访问到。这时我们仅可以通过更改文件权限来解决。
SELinux启用后，即使这样的文件是644的权限，SELinux还要同时检查这个文件的‘context’，我们用'ls -Z'可以看到文件的详细情况里面比‘ls -l’多了一些内容，这就是SELinux的属性。当APACHE进程访问这个文件时，我们要看的是这个‘context’是不是具有让APACHE进程读取的权限。如果SELinux的CONTEXT不正确，即使这个文件是644，那么APACHE也是无法读取他的。

2. 服务器端口保护
我们预先为每个服务器指定了一个可用的端口范围。
例如：系统默认允许APACHE使用80 443 8000等端口，如果用户想让APACHE监听801端口，这时候如果SELinux启用就会限制我们的这一行为，必须管理员修改SELinux‘端口策略’才行。

3....


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/64883/showart_1998540.html