在CentOS中,SELinux(Security-Enhanced Linux)是一种内核安全模块,用于提供强制访问控制(MAC)功能,以增强系统安全性。SELinux通过定义一套详细的访问控制策略来管理文件和进程的权限,这些策略可以限制用户和应用程序对系统资源的访问。
SELinux管理文件权限的方式主要包括以下几个方面:
SELinux为文件和目录分配一个上下文(context),这个上下文定义了文件的安全属性。例如,user_u:object_r:httpd_sys_content_t:s0。
你可以使用ls -Z命令查看文件的SELinux上下文。
你可以使用chcon命令临时修改文件的SELinux上下文,或者使用semanage fcontext命令永久修改。
# 临时修改文件上下文
chcon -t httpd_sys_content_t /path/to/file
# 永久修改文件上下文
semanage fcontext -a -t httpd_sys_content_t "/path/to/file(/.*)?"
restorecon -Rv /path/to/file
SELinux策略定义了哪些主体(如用户、进程)可以访问哪些客体(如文件、目录)。策略通常以.pp文件的形式存在,并通过semodule命令加载和管理。
sestatus
semodule -i mypolicy.pp
semodule -r mypolicy
SELinux有两种运行模式:
你可以通过以下命令切换模式:
# 设置为强制模式
setenforce 1
# 设置为宽容模式
setenforce 0
SELinux会记录所有被拒绝的访问尝试,这些记录可以在/var/log/audit/audit.log文件中找到。你可以使用ausearch和aureport工具来查询和分析这些日志。
# 查询特定用户的SELinux拒绝记录
ausearch -u username
# 生成SELinux拒绝报告
aureport -m avc -ts recent
SELinux还支持用户和角色的管理,通过semanage login和semanage user命令可以添加、删除和管理用户和角色。
# 添加新用户
semanage user -a -R user_u -r object_r -s system_u -P password username
# 删除用户
semanage user -d username
通过以上这些方法,SELinux在CentOS中提供了强大的文件权限管理功能,确保系统的安全性和稳定性。