歡迎您光臨本站 註冊首頁

Selinux的應用示例

←手機掃碼閱讀     火星人 @ 2014-03-08 , reply:0

筆者:劉洋

一、 建立用戶關聯

1、 RHEL5中,默認的

targeted策略中,只存在三個 selinux用戶,分別是system_urootuser_u,表示系統擁有都,管理員和其他所有用戶,可以用以下命令列出selinux用戶:

#semanage user

-l

2、 為了使linux的普通用戶和selinux user_u建立聯繫,執行以下的命令:

#useradd bob

#useradd tom

#useradd lisi

#semanage login –a bob

#semanage login –a tom

#semanage login –a lisi

3、 可以用以下命令查看結果:

#semanage login -l

可以發現用戶bob tom lisi

已經與user_u建立了聯繫

二、 配置類別

1、在selinux中,類別有兩種表示方法,一種是由系統識別的,使用的是一些代碼;還有一種是可以供人閱讀的字元串.需要一種機制把這兩種方法聯繫起來,這個任務是由配置文件

setrans.conf承擔的,首先看一下當前的類別情況:

#chcat -L
2
、可以看到目前有兩種類別,現在在該文件中加入以下內容,表示要添加MarketingPersonnel兩個類別,代號分別為s0:c1s0:c2

#cd /etc/selinux/targeted

#vim setrans.conf

加入s0:c1=Marketing

S0:c2=Personnel

現執行chcat –L查看,可以發現這兩個類別已經添加上了

3、 為了使添加的類別在系統中生效,需要重啟服務:

#service mcstrans restart

三、 把類別分配給用戶

1、 假設用戶bob是業務部的,tom是人力資源部的,

lisi是財務部的,執行以下命令表示把這兩個類別分配給用戶

#chcat –l -- Marketing bob

#chcat –l -- Personnel tom

#chcat -l -- Marketing, Personnel lisi

2、 用以下命令查看用戶所分配到的類別:

#chcat -L -l bob

注意用戶只有在下一次登錄的時候才能生效

四、 把類別分配給文件

1、 假設用戶bob在自己的主目錄下創建一個文件

tom.txt

#su - bob

$echo “tom.txt”>tom.txt

2、 用命令查看該文件初始的安全上下文

$ls -Z

此時文件還沒有分到類別

3、用以下命令把

Marketing 分給tom.txt文件

$chcat -- Marketing tom.txt

注意tom自己 是不屬於Marketing

4、然後再查看tom.txt,按照selinux的規定tom是不能查看tom.txt 內容的,現在tom可以查看是現在的selinux處於隨意的狀態,此時會在

/var/log/messages中留下記錄

5、用root用戶使用命令使selinux處於強制狀態

#setenforce 1

Tom再查看時將不會成功

本文出自 「洋仔 Learning……」 博客,謝絕轉載!


[火星人 ] Selinux的應用示例已經有474次圍觀

http://coctec.com/docs/linux/show-post-47042.html