华南俳烁实业有限公司

一、ugo模式主動(dòng)訪問控制DAC

文件的權(quán)限控制ugo  rwx

二、selinux強(qiáng)制訪問控制MAC

每個(gè)文件資源都有一個(gè)標(biāo)記，特定標(biāo)記的進(jìn)程，只能訪問特定標(biāo)記的資源，無法訪問其他資源，即使資源的權(quán)限設(shè)置為777(rwx)

三、查看和設(shè)置文件和進(jìn)程的安全標(biāo)記

使用-Z的選項(xiàng)可以查看文件和進(jìn)程的標(biāo)記,以httpd服務(wù)為例子：

[root@linuxidc tmp]# ls -Z

--wx-----x. root  root  unconfined_u:object_r:user_tmp_t:s0 a1

-----w----. root  root  unconfined_u:object_r:user_tmp_t:s0 a4

---------x. root  root  unconfined_u:object_r:user_tmp_t:s0 a5

[root@linuxidc html]# ps auxZ|grep httpd

system_u:system_r:httpd_t:s0    root      5477  0.1  0.4 213692  4904 ?        Ss

[root@linuxidc html]# ls -ldZ /var/www/html/

drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

在根下創(chuàng)建一個(gè)www的目錄，并在/var/www/html下面做一個(gè)www的軟鏈接：

[root@linuxidc html]# mkdir /www

[root@linuxidc html]# ln -s /www/ www

[root@linuxidc html]# ls

index.html  iso  ks.cfg  www

/www目錄的默認(rèn)的上上下文為，沒有標(biāo)記為httpd：

[root@linuxidc html]# ls -ldZ /www/

drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /www/

如果這時(shí)候啟動(dòng)httpd服務(wù)，打開瀏覽器，訪問www目錄，會(huì)提示不被允許：

修改/www目錄的上下文，使其上下文與/var/www/html一致，再打開www目錄即可訪問：

[root@linuxidc html]# chcon -R --reference=/var/www/html/ /www

[root@linuxidc html]# ls -ldZ /www/

drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /www/

使用restorecon命令可以恢復(fù)文件資源的默認(rèn)上下文：

[root@linuxidc html]# ls -ldZ /www/

drwxr-xr-x. root root system_u:object_r:default_t:s0  /www/

使用chcon命令只能臨時(shí)改變文件資源的上下文，重啟電腦則會(huì)恢復(fù)默認(rèn)值，要想永久的修改默認(rèn)的上下文，則需使用semanage命令：

[root@linuxidc html]# semanage fcontext -a -t httpd_sys_content_t '/www(/.*)?'

使用restorcon命令再恢復(fù)默認(rèn)上下文，則恢復(fù)的是最新設(shè)置的上下文

使用-d選項(xiàng)可以刪除默認(rèn)的上下文：

[root@linuxidc html]# semanage fcontext -d -t httpd_sys_content_t '/www(/.*)?'