Biasa dengan tiga mod kerja SELinux

SELinux (Security-Enhanced Linux) ialah modul keselamatan yang melaksanakan Kawalan Capaian Mandatori (MAC) dalam sistem Linux. Ia menguatkuasakan dasar keselamatan dengan menggunakan label pada objek sistem (fail, proses, dll.) untuk kawalan akses yang lebih terperinci. SELinux mempunyai tiga mod kerja: Menguatkuasa, Permisif dan Dilumpuhkan Artikel ini akan memperkenalkan tiga mod ini secara terperinci dan memberikan contoh kod khusus.

1. Mod penguatkuasaan

Mod penguatkuasaan ialah mod paling selamat dan disyorkan, yang menguatkuasakan dasar SELinux dan menafikan serta merekodkan pelanggaran. Dalam mod Penguatkuasaan, sistem menafikan akses tanpa kebenaran dan menjana rekod log yang sepadan. Untuk memahami mod Penguatkuasaan, kita boleh melalui contoh kod berikut untuk menunjukkan cara menetapkan label SELinux bagi fail dan cuba mengaksesnya:

# 创建测试文件
touch testfile

# 查看文件的SELinux标签
ls -Z testfile

# 修改文件的SELinux标签为httpd_sys_content_t类型
chcon -t httpd_sys_content_t testfile

# 尝试访问文件
cat testfile

Dalam contoh di atas, kami telah mencipta fail bernama testfile dan menetapkan label SELinuxnya ke taip httpd_sys_content_t. Percubaan untuk membaca fail ini akan menyebabkan akses dinafikan kerana label fail tidak sepadan dengan label proses semasa.

2. Mod Permisif

Mod Permisif membolehkan pentadbir sistem menguji dasar SELinux tanpa benar-benar memintas sebarang permintaan akses. Dalam mod Permisif, SELinux akan log pelanggaran akses tetapi tidak akan menafikannya. Mod ini biasanya digunakan untuk menyahpepijat dan menguji dasar SELinux baharu. Berikut ialah contoh yang menunjukkan cara melihat rekod log dalam mod Permisif:

# 查看当前SELinux模式
sestatus

# 切换SELinux模式为Permissive
setenforce 0

# 尝试访问被禁止的文件
cat /etc/shadow

# 查看SELinux日志记录
cat /var/log/audit/audit.log

Dalam contoh di atas, kami menukar mod SELinux kepada Permisif dan cuba membaca fail /etc/shadow, di mana rekod log akan menunjukkan maklumat mengenai maklumat yang dilarang untuk diakses, tetapi akses sebenar masih akan dibenarkan.

3. Mod dilumpuhkan

Mod dilumpuhkan akan melumpuhkan sepenuhnya SELinux dan membatalkan sebarang kawalan akses dan langkah perlindungan yang berkaitan dengan SELinux. Ini adalah mod yang paling kurang disyorkan kerana keselamatan sistem akan terjejas. Dalam mod Dilumpuhkan, sistem tidak akan melaksanakan dasar SELinux dan tidak akan merekodkan sebarang akses haram. Berikut ialah contoh yang menunjukkan cara untuk melumpuhkan SELinux:

# 查看当前SELinux模式
sestatus

# 禁用SELinux
setenforce 0

# 查看当前SELinux模式
sestatus

Dalam contoh di atas, kami melumpuhkan SELinux melalui arahan setenforce dan mengesahkan bahawa SELinux berada dalam mod Disabled melalui arahan sestatus.

Ringkasan: Memahami tiga mod kerja SELinux adalah penting untuk keselamatan sistem dan kawalan akses. Mod penguatkuasaan menyediakan tahap perlindungan tertinggi, Mod Permisif digunakan untuk penyahpepijatan dan ujian, dan mod Dilumpuhkan harus dielakkan untuk memastikan keselamatan sistem. Melalui contoh kod khusus di atas, saya berharap pembaca dapat memahami dengan lebih mendalam tentang mod kerja SELinux serta kelebihan dan kekurangannya.

Atas ialah kandungan terperinci Biasa dengan tiga mod kerja SELinux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!