9.10. 使用 SELinux 策略

download PDF
SELinux 是强制访问控制规则的集合,用于限制未经授权的访问和篡改。SELinux 对服务器上的文件、目录、端口、进程、用户和其他对象进行分类。每个对象放置在适当的安全上下文中,以定义对象如何通过角色、用户和安全级别在服务器的行为中。这些角色在域中分组,SELinux 规则定义如何允许一个域中的对象与另一个域中的对象交互。
目录服务器有以下域:
  • Directory 服务器的 dirsrv_t
  • SNMP 的 dirsrv_snmp_t
目录服务器还使用一个额外的默认域用于 LDAP 端口: ldap_port_t

图 9.4. 编辑目录服务器文件标签

编辑目录服务器文件标签
这些域为 Directory 服务器的所有进程、文件、目录、端口、套接字和用户提供安全上下文。
  • 每个实例的文件和目录都带有特定的 SELinux 上下文。( Directory Server 使用的大多数主要目录具有所有本地实例的子目录,无论多少次,一个策略都轻松应用到新实例。)
  • 每个实例的端口使用特定的 SELinux 上下文标记。
  • 所有目录服务器进程都在适当的域中进行限制。
  • 每个域具有特定的规则,它们定义域授权了哪些操作。
  • SELinux 策略中没有指定的访问权限将拒绝实例。
SELinux 有三个不同的执行级别:禁用(没有 SELinux)、permissive(规则会被处理但不强制这些规则)和 enforcing(所有规则都强制)。Red Hat Directory Server 定义了 SELinux 策略,允许它在严格的 SELinux enforcing 模式下以正常方式运行。目录服务器可以在不同的模式下运行,一个用于正常操作,一个用于导入等数据库操作(ldif2db 模式)。Directory 服务器的 SELinux 策略仅适用于正常模式。
默认情况下,Directory 服务器会受 SELinux 策略限制。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.