目录SELinux 概述SELinux 工作模式SELinux策略——安全规则常用命令常见问题排查实际应用示例知识点问答题SELinux 概述SELinuxSecurity-Enhanced Linux是一种基于Linux 内核的安全模块通过强制访问控制MAC机制增强系统安全性。它关心的是进程有哪些权限。SELinux 工作模式它有三种工作模式强制模式Enforcing策略规则被强制执行违反规则的操作会被阻止并记录日志。默认是这个模式宽容模式Permissive仅记录违反规则的操作不阻止执行。常用于调试策略。禁用模式Disabled完全关闭 SELinux系统回归传统 DAC 控制。不建议SELinux策略——安全规则它定义特定的进程如何访问相关的文件、目录和端口每个资源进程、文件、端口它都会有一个特定的标签这就是SELinux上下文而这个上下文由SELinux策略规则规定默认情况规则不允许访问。下面就是这个标签SELinux上下文的5个字段user:role:type:level:category我们主要看type这个字段类型上下文名称通常以 _t 结尾。常用命令许多列出资源的命令都可以使用 -Z 选项来管理SELinux上下文ps axZ ls -Z /var/www检查当前 SELinux 模式getenforce临时切换模式需 root 权限setenforce 0 # 切换为 Permissive setenforce 1 # 切换为 Enforcing若要持久的配置SELinux模式就需要修改/etc/selinux/config文件中的参数#先进入文件 vim /etc/selinux/config #将SELINUX此行进行修改例如设置为enforcing模式 SELINUXenforcing #按i可以进行编辑找不到可以在默认模式下键入“/需要搜索的词”进行搜索按n切换匹配的下一个修改文件安全上下文(两种方式)#先使用semanage fcontext创建文件上下文策略 semanage fcontext -a -t httpd_sys_content_t /virtual(/.*)? #/.*?是扩展正则表达式表示匹配此目录以及目录下的文件名 #再使用restorecon -Rv来设置默认上下文 restorecon -Rv /virtualchcon -t httpd_sys_content_t /path/to/file #将/path/to/file文件的上下文改为httpd_sys_content_t恢复默认上下文restorecon -Rv /path/to/directory常见问题排查权限拒绝检查/var/log/audit/audit.log或使用ausearch工具分析日志。恢复错误标签使用restorecon恢复默认上下文。实际应用示例允许 Apache 访问非默认目录semanage fcontext -a -t httpd_sys_content_t /custom/path(/.*)? restorecon -Rv /custom/path启用 HTTP 服务使用非标准端口semanage port -a -t http_port_t -p tcp 8080知识点问答题SELinux 是如何保护资源的通过强制访问控制MAC来保护资源规定文件的权限防止越权访问资源什么是强制访问控制(MAC)它有什么特点MAC是由系统根据全局安全策略来规定所有主体对客体访问权限的机制特点是所有安全规则由系统管理员或安全策略统一规定不循序随意更改安全标签没有规定情况下默认禁止即使是root用户有些策略也会限制访问什么是 SELinux 上下文标签规定这个文件的权限setenforce 0 命令的作用是什么禁用SELINUX定义一条 SELinux 文件上下文规则以便将 /custom 目录及目录中所有文件的上下文类型设置为 httpd_sys_content_t。Semanage fcontext -a -t httpd_sys_content_t ‘/custom(/.*)?’Restorecon -R /custom