当前位置: 首页 > news >正文

上海门户网站建设公司logo在线

news 2025/10/26 10:45:13
上海门户网站建设公司,logo在线,网站建设系统教程,优质公司网站1. SELinux 如何保护资源? SELinux(安全增强型 Linux) 是系统的“超级保安”,通过以下方式保护资源: 强制访问控制(MAC):为每个进程、文件、端口等分配唯一“标签”(上下…
1. SELinux 如何保护资源?

SELinux(安全增强型 Linux) 是系统的“超级保安”,通过以下方式保护资源:

  • 强制访问控制(MAC):为每个进程、文件、端口等分配唯一“标签”(上下文),即使黑客突破普通权限,SELinux 也会根据标签限制非法操作。

  • 最小权限原则:默认拒绝所有操作,只有明确允许的规则才能放行。

通俗比喻

  • 普通权限(DAC):你家的门锁,钥匙在你手里,但可能被偷。

  • SELinux(MAC):小区保安,即使小偷拿到钥匙,保安也会检查身份证,阻止陌生人进入。

2. SELinux 的工作模式
模式行为适用场景
Enforcing强制执行所有安全策略,拒绝非法操作。生产环境(安全第一)
Permissive仅记录违规行为,不阻止操作。调试阶段(观察问题)
Disabled完全关闭 SELinux。极端兼容性需求(不推荐)

查看当前模式

getenforce  # 输出:Enforcing、Permissive 或 Disabled

临时切换模式

sudo setenforce 0  # 设为 Permissive  
sudo setenforce 1  # 设为 Enforcing
3. DAC 与 MAC 的区别

  • DAC(自主访问控制)

    • 规则:用户自主管理文件权限(如 rwx)。

    • 示例chmod 755 file.sh 设置文件权限。

    • 风险:root 用户权限过大,易被滥用。

  • MAC(强制访问控制)

    • 规则:系统强制定义进程和资源的访问关系。

    • 示例:即使你是 root,SELinux 也可阻止 Apache 访问非授权目录。

核心区别:DAC 是“自愿锁门”,MAC 是“强制安检”。

4. SELinux 文件上下文

上下文(Context):SELinux 为每个文件、目录、进程分配的标签,格式为:

user:role:type:level

  • 关键字段type(类型),决定访问权限(如 httpd_sys_content_t 表示 Web 内容文件)。

查看文件上下文

ls -Z /var/www/html  # 输出:system_u:object_r:httpd_sys_content_t index.html
5. 设置默认 SELinux 模式

  1. 编辑配置文件 /etc/selinux/config

    SELINUX=enforcing  # 可选值:enforcing、permissive、disabled

  2. 重启系统生效。

6. 文件复制/移动时的上下文变化

  • 复制(cp:新文件继承目标目录的默认上下文。

  • 移动(mv:保留原文件的上下文。

修复上下文不匹配

restorecon -Rv /path/to/file  # 恢复默认上下文
7. 修改 SELinux 上下文

  • 临时修改

    chcon -t httpd_sys_content_t /path/to/file  # 修改类型

  • 永久修改(需更新策略或使用 semanage):

    semanage fcontext -a -t httpd_sys_content_t "/custom/web(/.*)?"  
restorecon -Rv /custom/web
8. SELinux 故障排除服务

  • 日志工具

    • auditd:记录 SELinux 拒绝事件到 /var/log/audit/audit.log

    • sealert:分析日志并给出建议。

使用示例

sealert -a /var/log/audit/audit.log  # 生成可读的报告

存储分区与挂载

9. 使用分区划分存储的好处

  • 数据隔离:系统崩溃时,避免所有数据丢失。

  • 性能优化:不同分区使用不同文件系统(如 SSD 用 ext4,机械硬盘用 xfs)。

  • 安全控制:为敏感数据单独挂载并设置权限。

  • 多系统支持:在同一磁盘安装多个操作系统。

10. MBR 与 GPT 分区
特性MBRGPT
最大磁盘容量2TB几乎无限制(支持 EB 级)
分区数量4 个主分区(或 3 主 + 1 扩展)128 个主分区(默认)
兼容性兼容旧系统(如 BIOS 启动)需 UEFI 支持
备份机制分区表头尾部备份,更安全

选择建议:新硬件选 GPT,旧硬件或兼容 BIOS 启动选 MBR。

11. parted 的作用与 mklabel 子命令

  • parted:强大的分区工具,支持 GPT/MBR,可调整分区大小。

  • mklabel:创建分区表(即选择 MBR 或 GPT)。

示例:将磁盘 /dev/sda 初始化为 GPT:

sudo parted /dev/sda  
(parted) mklabel gpt
12. 开机自动挂载文件系统

  1. 编辑 /etc/fstab 文件,添加挂载条目:

    UUID=xxxx-xxxx  /mount/path  ext4  defaults  0 0

    • 字段解释

      • UUID:磁盘分区的唯一标识(用 blkid 查看)。

      • 挂载点:如 /mnt/data

      • 文件系统类型:如 ext4xfs

      • 挂载选项defaults 包含读写、执行等权限。

      • 备份标记0 表示不备份。

      • 检查顺序0 表示不检查。

  2. 测试配置:

    sudo mount -a  # 挂载所有 fstab 中的条目

注意:使用 UUID 而非设备名(如 /dev/sda1),避免磁盘顺序变化导致错误。

http://www.dtcms.com/a/529105.html

相关文章:

  • 【FPGA】三八译码器——仿真验证
  • 哪些网站可以做设计方案网站建设 客户
  • h5游戏免费下载:堆雪人
  • UltraISO制作系统启动盘
  • 未来之窗昭和仙君(三十六)抽奖随机算法前端——东方仙盟筑基期
  • wordpress网站添加密码访问17网站一起做网店广
  • 惠州网站建设制作志愿服务网站建设中标公告
  • 资料分析-年均与乘积增长率
  • 视频网站用什么做的济南网站建设山东聚搜网推荐
  • Minecraft合集
  • 公司网页网站建设sae wordpress 图片
  • 网站建设读后感为什么网页不能打开建设银行网站
  • 百度网站流量查询南京房地产网站建设
  • 南安梅山建设银行网站长春快速建站模板
  • CSMA/CA 协议和CSMA/CD的区别
  • 网络自动化:Ansible/Netmiko 网络设备批量配置与管理
  • 探索聊天机器人系统提示的秘密[特殊字符]
  • 接近光速运动下的光速不变性:基于张祥前统一场论的推导与验证
  • 固始网站制作四川德充建设集团有限公司网站
  • STM32G474单片机开发入门(二十七)HRTIME高精度定时器的PWM(50KHZ)输出实战
  • Windows磁盘占用率高解决记录
  • 泛用性而言,系统分析师 与 信息系统项目管理工程师 比较
  • 网站程序国内 wordpress主题
  • 太仓公司网站建设电话天津企业网站建设方案
  • AI 浏览器技术趋势分析:Perplexity Comet 的创新与早期用户激励机制探讨
  • 4.基础开发工具(一)
  • 网站如何调用微博wordpress 发布视频
  • SQL注入第一步:数据库类型判断
  • 软件架构师个人总结笔记
  • 免费发做网站怎么申请网站空间域名