selinux实例:使用安全增强的linux,13.1.1.SELinux配置文件（/etc/selinux/config）

13.1.1.SELinux配置文件(/etc/selinux/config)

SELinux配置文件/etc/selinux/config控制系统下一次启动过程中载入哪个策略，以及系统运行在哪个模式下，我们可以使用sestatus命令确定当前SELinux的状态，清单13-1显示了一个config文件的例子：

清单13-1./etc/selinux/config文件的内容

1  # This file controls the state of SELinux on the system.

2  # SELINUX= can take one of these three values:

3  #       enforcing - SELinux security policy is enforced.

4  #       permissive - SELinux prints warnings instead of

enforcing.

5  #       disabled - SELinux is fully disabled.

6  SELINUX=enforcing

7  # SELINUXTYPE= type of policy in use. Possible values are:

8  #        targeted - Only targeted network daemons are

protected.

9  #        strict - Full SELinux protection.

10 SELINUXTYPE=strict

这个文件控制两个配置设置：SELinux模式和活动策略。SELinux模式(由第6行的SELINUX选项确定)可以被设置为enforcing，permissive或disabled。在enforcing模式下，策略被完整执行，这是SELinux的主要模式，应该在所有要求增强Linux安全性的操作系统上使用。在permissive模式下，策略规则不被强制执行，相反，只是审核遭受拒绝的消息，除此之外，SELinux不会影响系统的安全性，这个模式在调试和测试一个策略时非常有用。

在disabled模式下，SELinux内核机制是完全关闭了的，只有系统启动时策略载入前系统才会处于disabled模式，这个模式和permissive模式有所不同，permissive模式有SELinux内核特征操作，但不会拒绝任何访问，只是进行审核，在disabled模式下，SELinux将不会有任何动作，只有在极端环境下才使用这个模式，例如，当策略错误阻止你登陆系统时，即使在permissive模式下也有可能发生这种事情，或我们不想使用SELinux时。

警告：在enforcing和permissive模式或disabled模式之间切换时要小心，当你返回enforcing模式时，通常会导致文件标记不一致，本章后面我们将会讨论如何修复文件标记问题。

SELinux配置文件中的模式设置由init使用，在它载入初始策略前配置SELinux使用。

SELinux配置文件中的SELINUXTYPE选项告诉init在系统启动过程中载入哪个策略，这里设置的字符串必须匹配你用来存储二进制策略版本的目录名，例如，我们使用strict策略作为例子，因此我们设置SELINUXTYPE=strict，确保我们想要内核使用的策略位于/etc/selinux/strict/policy/，如果我们已经创建了我们自己的自定义策略，如custom_policy，我们应该将这个选项设置为SELINUXTYPE=custom_policy，确保我们编译的策略位于/etc/selinux/custom_policy/policy/。

FC和RHEL系统提供了一个图形工具(system-config-securitylevel)，我们可以使用它来设置SELinux配置文件选项，这样就不需要直接编辑文件了，前面两个选择框设置SELINUX选项，策略类型下拉列表允许我们从安装好的策略中选择一个活动策略。

(点击查看大图)图13-1.Red Hat安全级别配置工具

【责任编辑：云霞 TEL：(010)68476606】

点赞 0