CentOS中SELinux文件访问控制

centos

小樊

119

2025-08-10 11:20:29

栏目: 智能运维

CentOS中SELinux通过强制访问控制（MAC）限制文件访问，核心机制包括：

安全上下文：为文件、进程分配用户:角色:类型:级别标签，如system_u:object_r:httpd_sys_content_t:s0，决定访问权限。
域-类型模型：进程运行在特定“域”（如httpd_t），仅能访问对应“类型”的文件（如httpd_sys_content_t），访问规则由策略定义。
策略类型：
- Targeted（默认）：仅保护关键服务（如HTTP、SSH）。
- Strict：全面保护系统，限制所有进程。
操作模式：
- Enforcing：强制执行策略，拒绝违规访问并记录日志。
- Permissive：仅记录违规，不阻止操作，用于调试。
- Disabled：关闭SELinux（需重启生效）。
常用命令：
- 查看状态：getenforce（模式）、sestatus（详细信息）。
- 修改文件上下文：chcon（临时）、semanage fcontext + restorecon（永久）。
- 调整布尔值：setsebool（如允许httpd访问用户目录httpd_enable_homedirs）。
日志监控：通过/var/log/audit/audit.log查看被拒绝的访问行为，辅助策略调整。

最新问答