Linux-C-高级-第5章-SELinux安全系统基础

---

目录（持续更新）

---

基础-第0章-安装
基础-第1章-基本操作
基础-第2章-磁盘及文件系统管理
基础-第3章-获得帮助
基础-第4章-用户及权限基础
基础-第5章-网络基本配置
基础-第6章-管道，重定向及文本处理
基础-第7章-系统启动详解

进阶-第1章-日志服务
进阶-第2章-DNS域名服务器
进阶-第3章-FTP文件共享服务
进阶-第4章-NFS文件共享服务
进阶-第5章-SMB文件共享服务
进阶-第6章-WEB服务Apache篇
进阶-第7章-电子邮件服务
进阶-第8章-Linux服务基础及管理

高级-第1章-LVM逻辑卷
高级-第2章-高级权限ACL
高级-第3章-RAID提升速度及冗余
高级-第4章-高级网络-网卡绑定，子端口
高级-第5章-SELinux安全系统基础
高级-第6章-IPTable防火墙基础
高级-第7章-Linux远程管理-SSH、VNC

---

第5章 SELinux安全系统基础

---

第一节

SELinux

SELinux 安全增强  NSA针对计算机结构安全开发的全新安全策略机制，允许管理员更灵活定义安全策略

SELinux是一个内核安全机制 2.6内核后集成在内核里

主流Linux发行版都有集成SELinux  CentOS/RHEL默认开启

内核机制，一切内核级修改都需要重启

SELinux基本概念

所有安全机制是对两样东西做出限制
进程和系统资源（文件，网络套接字，系统调用等）

SELinux 针对这两种类型定义两个基本概念：域domain 上下文context

    域对进程限制
    上下文针对系统资源

命令ps -Z 查看进程的域
命令ls -Z 查看文件上下文

策略

SELinux通过定义策略来控制哪些进程访问哪些文件
很对预制策略，我们通常不需要定义策略

CentOS 预订target策略

target定义了只有目标进程收到SELinux限制，其他进程运行在非限制模式下
只影响网络服务程序
CentOS受限制的网络服务在200个左右

工作模式

强制(enforcing)
    违反策略的动作都被禁止 并作为内核信息记录
允许(permissive)
    违反策略的行动都不禁止 但是会产生警告信息
禁用(disabled)
    禁用SELinux与不带SELinux功能的系统一样

配置文件为/etc/sysconfig/selinux
    SELINUX=permissive
命令getenforce可查看当前SELinux工作状态
    getenforce
命令setenforce可以设置当前SELinux工作状态
    setenforce[0|1]
    setenforce 0
    setenforce 1

策略 域 上下文

命令 ps ls 加入-Z 参数可显示对应的SELinux信息
system_u    : object_r  : httpd_exec-t  : s0
用户      ：角色     ：类型         ：MLS MCS

策略规定进程可访问的文件

管理系统，文件操作会改百年文件爱你上下文，倒是进程无法访问
需要检查修改文件的上下文

命令 restorecon可以用于恢复文件默认的上下文
    restorecon -R -v /var/www

命令chcon可以用以改变文件上下文
    chcon --reference=/etc/named.conf.orig /etc/named.conf