SELinux基本概念详解

selinux(security enhanced linux),以下是selinux的三种类型实际操作流程示意图：

意义:

传统的linux权限控制采用自主式权限控制(discretionary access control, dac),依据程序拥有者和资源的rwx权限决定有无存取能力.这样存在root账户盗用可以使用任何资源和目录如果被设为777权限而导致任意存取和操作的问题.selinux采用mac(mandatory access control, mac).在访问资源时，判断程序是否有权限，而不是判断用户.所以，即使不小心httpd被 取得了控制权，他也无权浏览/etc/shadow 等重要的文档.开启selinux后，访问文件会经过selinux权限控制和普通的用户资源rwx权限控制.

selinux 是整合到核心的一个核心功能，不需要启动什么额外的服务来开启selinux.开机完成后，selinux也就启动了.

策略模式:

selinux 的运作策略:

targeted：针对网路服务限制较多，针对本机限制较少，是预设的政策；

strict：完整的selinux 限制，限制方面较为严格.

三种模式:

enforcing：强制模式，代表selinux运作中，且已经正确的开始限制domain/type了；

permissive：宽容模式：代表selinux运作中，不过仅会有警告讯息并不会实际限制domain/type的存取.这种模式可以运来作为selinux的debug之用(看下什么原因导致无法访问)；

disabled：关闭.

查询selinux当前模式:getenforce

查询selinux当前policy详细信息:sestatus

打开关闭:

临时关闭selinux: setenforce 0 (设置selinux 成为permissive模式)

临时打开selinux: setenforce 1 (设置selinux 成为enforcing模式)

彻底关闭selinux: vi /etc/selinux/config  设置selinux=disabled ,重启生效

log:

以下服务可以记录当发生selinux 错误时，将那些有用的资讯记录到log，用以提供解决的方案:

setroubleshoot(只记录错误信息)

auditd(记录详细信息)

基本使用:

安全性本文(security context)查看:

ls -z 

安全性本文主要用冒号分为三个栏位

identify:role:type

身份识别:角色:类型

身份识别(identify)：

root：表示root的帐号身份，如同上面的表格显示的是root home目录下的资料

system_u：表示系统程序方面的识别，通常就是程序

user_u：代表的是一般使用者帐号相关的身份

角色(role)：

object_r：代表的是档案或目录等档案资源，这应该是最常见的

system_r：代表的就是程序啦！不过，一般使用者也会被指定成为system_r

类型(type) ：(最重要！)

程序的domain要和文件的type相搭配,才能有权限访问.

每个目录或档案都会有预设的安全性本文

查询增加修改预设的安全性文本：semanage

将文件修改为当前目录默认的安全性文本:

restorecon -rv /var/www/html/index.html  

将文件目录安全性文本设置为和另一个文件目录一样:

chcon -r --reference=/var/lib/ref_file target_file 

可以设置和修改访问规则,可以修改目录默认安全性文本.