ICT系统集成阿祥
作者站在ICT项目集成角度,不定期更新ICT项目集成类文章,技术方向涉及数通、安防,安全、云计算等;管理方向涉及项目管理,经验分享,IT新闻等。致力于普及时下最新的、最实在、最艳的ICT项目集成干货,阿祥志愿和您共同成长。
281篇原创内容
公众号
SELinux(Security-Enhanced Linux)是 Linux 内核中由美国国家安全局(NSA)开发的强制访问控制(MAC)安全子系统,它通过精细化权限管理大幅提升系统安全性。以下是其核心要点:
2、工作流程
当进程访问资源时:
semanage fcontext -a -t httpd_sys_content_t "/data/www(/.*)?"
restorecon -Rv /data/www
2、故障排查难度
1、防御纵深提升
2、合规性要求
模式 | 特点 | 适用场景 |
---|---|---|
Enforcing | 拦截违规操作并记录日志 | 生产环境必选 |
Permissive | 仅记录违规不拦截 | 调试策略或临时排查问题 |
Disabled | 完全关闭 SELinux | 仅建议测试环境短期使用 |
切换指令
setenforce 0 # 临时切为 Permissive
setenforce 1 # 切回 Enforcing
sed -i 's/SELINUX=.*/SELINUX=enforcing/' /etc/selinux/config # 永久启用
1、勿直接禁用:用 Permissive
模式收集日志,逐步优化策略而非彻底放。
2、关键工具:
3、容器兼容:Docker 挂载目录时添加 :Z
参数自动适配 SELinux 标签(如 -v /data:/data:Z
)。
PS:正如 Linux 内核开发者 Stephen Smalley 所言:“禁用 SELinux 如同拆掉汽车安全带——看似方便,实则危险。” 掌握其原理后,它将成为系统安全的坚实盾牌而非绊脚石 🔐。
ICT系统集成阿祥
作者站在ICT项目集成角度,不定期更新ICT项目集成类文章,技术方向涉及数通、安防,安全、云计算等;管理方向涉及项目管理,经验分享,IT新闻等。致力于普及时下最新的、最实在、最艳的ICT项目集成干货,阿祥志愿和您共同成长。
281篇原创内容