Linux体系：selinux规则设置详解

目次
一、SELinux（Security-Enhanced Linux）
1、SELinux概述和作用
2、 SELinux的优缺点
3、SELinux的权限管理机制
3.1 DAC（Discretionary Access Control，自主访问控制）
3.2 MAC（Mandatory Access Control，欺压访问控制）
3.3 DAC和MAC的区别
4、SELinux中几个名词概念
4.1 主体（Subject）
4.2 对象（Object）
4.3 政策和规则（Policy & Rule）
5、SELinux的三种工作模式
5.1 临时修改工作模式
5.2 永世修改工作模式
6、安全上下文（Security Context）
6.1 查询安全上下文
6.1.1 查询文件或目次的安全上下文
6.1.2 查询历程的安全上下文
6.2 chcon下令（修改文件或目次的安全上下文）
6.3 restorecon下令（规复文件或目次的安全上下文）
7、semanage下令（管理SELinux战略）
8、SELinux的布尔型规则
8.1 getsebool下令（获取SELinux布尔值的当前状态）
8.2 setsebool下令（设置SELinux布尔值的状态）
9、SELinux干系使用

---

一、SELinux（Security-Enhanced Linux）

1、SELinux概述和作用

SELinux（Security-Enhanced Linux）是一个Linux内核模块，它实现了欺压访问控制（MAC）机制，可以对体系中的各种资源（文件、历程、网络端口等）举行细粒度的访问控制，从而进步了体系的安全性
重要作用是强化体系的安全性，通过访问控制来防止恶意步伐对体系举行攻击。它可以限定步伐的权限，防止它们对体系资源举行未经授权的访问和使用，从而有效地掩护体系免受攻击
2、 SELinux的优缺点

  

• 长处
  

可以进步体系的安全性，通过访问控制来限定步伐的权限，从而有效地防止恶意步伐对体系举行攻击

  

• 缺点
  

使用SELinux必要肯定的学习资本，由于它的设置比力复杂，必要相识一些SELinux的根本概念和下令
3、SELinux的权限管理机制

SELinux是一种欺压访问控制（MAC）安全机制，用于Linux使用体系中。它的作用是通过欺压规则限定历程的权限，从而掩护体系免受未经授权的访问和攻击。
相比于传统的自由访问控制（DAC）机制，SELinux的长处在于可以更加细粒度地控制历程的访问权限，从而进步体系的安全性。但是，由于SELinux的规则非常复杂，设置和管理也比力困难，因此在使用时必要投入更多的精神和时间
3.1 DAC（Discretionary Access Control，自主访问控制）

一种基于用户身份和权限的安全机制。在没有使用 SELinux 的使用体系中，决定一个资源是否能被访问的因素是：某个资源是否拥有对应用户的权限（读、写、实验）。只要访问这个资源的历程符合以上的条件就可以被访问。而最致命题目是，root 用户不受任何管制，体系上任何资源都可以无穷制地访问。这种权限管理机制的主体是用户，也称为自主访问控制（DAC）
DAC的长处在于使用简单，容易明白和设置。但是，DAC的缺点也比力显着，重要包罗以下几个方面：

  

• 安全性较低：由于DAC是基于用户身份和权限的，因此用户可以自由地控制自己的资源访问权限。这就意味着假如用户的帐户被攻击大概被恶意步伐使用，攻击者可以通过该用户的权限访问该用户的全部资源  
  
• 权限管理困难：由于DAC是基于用户身份和权限的，因此在管理大量用户和资源时，权限管理变得非常困难。管理员必要泯灭大量时间和精神来管理和维护用户和资源之间的权限关系  
  
• 缺乏细粒度控制：由于DAC是基于用户身份和权限的，因此无法对差别用户对同一资源的访问举行细粒度控制。比方，无法对同一文件的差别部分举行差别的访问控制
  

3.2 MAC（Mandatory Access Control，欺压访问控制）

在使用了 SELinux 的使用体系中，决定一个资源是否能被访问的因素除了上述因素之外，还必要判断每一类历程是否拥有对某一类资源的访问权限。
如许一来，纵然历程是以 root 身份运行的，也必要判断这个历程的范例以及答应访问的资源范例才华决定是否答应访问某个资源。历程的运动空间也可以被压缩到最小。
纵然是以 root 身份运行的服务历程，一样寻常也只能访问到它所必要的资源。纵然步伐出了弊端，影响范围也只有在其答应访问的资源范围内。安全性大大增长。
这种权限管理机制的主体是历程，也称为欺压访问控制（MAC），它是由体系管理员预先界说的一组规则来控制体系中的访问权限，而不是由用户自己控制。MAC机制在体系内部欺压实验这些规则，从而包管体系的安全性。
MAC机制的核心头脑是将体系资源和历程分配到差别的安全级别，并界说了一些规则来控制差别级别之间的访问。在MAC机制中，每个资源都有一个安全级别，每个历程也有一个安全级别。当历程访问某个资源时，体系会查抄该历程的安全级别是否高于该资源的安全级别，假如不高于，则拒绝访问。
而 MAC 又细分为了两种方式，一种叫种别安全（MCS）模式，另一种叫多级安全（MLS）模式
3.3 DAC和MAC的区别

在 DAC 模式下，只要相应目次有相应用户的权限，就可以被访问。而在 MAC 模式下，还要受历程答应访问目次范围的限定
4、SELinux中几个名词概念

4.1 主体（Subject）

主体是指历程或用户，它们必要访问体系资源。在SELinux中，每个主体都有自己的安全上下文，此中包罗了主体的身份信息、脚色和安全级别等。
4.2 对象（Object）

对象是指体系中的资源，包罗文件、目次、网络、装备等。在SELinux中，每个对象都有自己的安全上下文，此中包罗了对象的范例信息、安全级别等。
4.3 政策和规则（Policy & Rule）

体系中通常有大量的文件和历程，为了节流时间和开销，通常我们只是选择性地对某些历程举行管制。而哪些历程必要管制、要怎么管制是由政策决定的。一套政策内里有多个规则。部分规则可以按照需求启用或禁用（以下把该范例的规则称为布尔型规则）。
规则是模块化、可扩展的。在安装新的应用步伐时，应用步伐可通过添加新的模块来添加规则。用户也可以手动地增减规则。
在 CentOS 7 体系中，有三套政策，分别是：

  

• targeted：对大部分网络服务历程举行管制。这是体系默认使用的政策（下文均使用此政策）  
  
• minimum：以 targeted 为底子，仅对选定的网络服务历程举行管制。一样寻常不消  
  
• mls：多级安全掩护。对全部的历程举行管制。这是最严酷的政策，设置难度非常大。一样寻常不消，除非对安全性有极高的要求
  

1. #政策可在这个配置文件中设置
2. /etc/selinux/config

复制代码

5、SELinux的三种工作模式

  

• enforcing模式
  

enforcing模式是SELinux的默认工作模式，也是最常用的工作模式。在enforcing模式下，SELinux会欺压实验安全战略，克制未经授权的访问。假如历程试图访问未授权的资源，SELinux会克制该历程的访问，而且在体系日记中记录干系信息

  

• permissive模式
  

permissive模式是SELinux的一种辅助模式，它不会克制任何访问，但会记录下未经授权的访问运动。在permissive模式下，SELinux只是记录违规运动，而不会欺压实验安全战略。这种模式通常用于测试和调试，以便管理员相识哪些访问是被克制的

  

• disabled模式
  

disabled模式是指完全禁用SELinux。在disabled模式下，SELinux不会实验任何安全战略，全部访问都会被答应。这种模式通常用于办理一些特殊的题目，但不发起在生产环境中使用
5.1 临时修改工作模式

1. getenforce     #查看当前系统的selinux工作模式

复制代码

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！qidao123.com:ToB企服之家，中国第一个企服评测及软件市场,开放入驻,技术点评得现金