15.SElinux安全系统基础

15.SElinux安全系统基础

・SELinux(Secure Enhanced Linux)安全增强linux是NSA针对计算机基础机构安全开发的一个全新的linux安全策略机制，SELinux允许管理员更加灵活的定义安全策略，

・SELinux是一个内核级的安全机制，在2.6内核之后集成在内核中，

・主流的Linux发行版都会集成SELinux机制，CentOS/RHEL默认会开启DELinux，

・因为SELinux是内核级机制，所以对SELinux的修改一般需要重启，

・SELinux基本概念：

・所有的安全机制都是对两样东西做出限制：进程和系统资源，

・SELinux针对这两种类型定义了两个基本概念：域(domain)和上下文( and context)，

・域用来对进程进行限制，

・上下文用来对系统资源进行限制，

・ps -Z可查看进程的域，

・ls -Z可查看文件的上下文，

・SELinux目标策略：

・SELinux通过定义策略来控制哪些域(进程)可以访问哪些上下文(文件)，

・SELinux有很多预警策略，通常不需要自定义策略(排除需要对自定义服务、进程进行保护)，

・CentOS/RHEL使用预置的目标(target)策略，

・目标策略定义只有目标进程受到SELinux限制，其他进程运行在非限制模式下，目标策略只影响网络应用，

・CentOS中受限制的网络服务程序有200个左右，如dhcpd，hpptd，mysqld，named，ntpd，rpcbind，squid，syslogd，

・SELinx模式、级别：

・模式有三种：

・强制enforcing，违反策略的行为都被禁止，并作为内核信息记录，

・允许permissive，违反策略的行为都不禁止，但是会产生警告信息，

・禁用disabled，禁用SELinux，与不带SELinux功能的系统一样，

・SELinux模式的配置文件为/etc/sysconfig/selinux：SELINUX=permissive，

・getenforce查看当前SELinux工作状态，

・setenforce 0|1设置SELinux工作状态，0为允许，1为强制，

・策略、域、上下文：

・用ps -Z或ls -Z显示的信息类似如下：

system_u：object_r：httpd_exec_t:so，对应：用户：角色：类型：MLS/MCS

・在对系统进行管理时，对文件的操作有时会改变文件的上下文，导致一些进程无法访问某些文件，所以我们一般需要检查、修改文件的上下文，

・restorecon -R -v /var/www，命令restorecon可以用以恢复文件默认的上下文，-R对目录使用，

・chcon --reference=/etc/named.conf.orig /etc/named.conf，命令chcon可以改变文件的上下文，参照前者修改后者，

・

・比如在家目录新建了一个html文件，剪切到apache目录，不可以访问了，就需要-R恢复下，

・