centos selinux安全策略有哪些

CentOS中SELinux的安全策略主要包括以下方面：

1. 策略类型

   • targeted：默认策略，仅对部分网络服务（如httpd、sshd）实施访问控制。
   • minimum：基于targeted，仅对选定的网络服务进行管制，使用较少。
   • mls：多级安全策略，对所有进程严格管控，配置复杂，一般用于高安全性场景。

2. 工作模式

   • Enforcing：强制模式，违反策略的行为会被阻止并记录到日志。
   • Permissive：宽容模式，仅记录违规行为，不阻止操作，用于调试。
   • Disabled：关闭模式，完全不执行SELinux策略，不推荐生产环境使用。

3. 策略管理操作

   • 查看策略：通过getenforce查看当前模式，cat /etc/selinux/config查看配置文件中的策略类型。
   • 修改策略：修改/etc/selinux/config中SELINUX和SELINUXTYPE参数，需重启生效。
   • 自定义策略：可通过audit2allow工具将审计日志中的违规记录转换为规则，或手动编写策略模块。

4. 安全上下文管理

   • 每个文件、进程都有安全上下文（由用户、角色、类型等组成），策略通过匹配上下文控制访问权限。
   • 常用命令：ls -Z查看文件上下文，chcon修改上下文，restorecon恢复默认上下文。

5. 布尔值控制

   • 策略中的布尔值可动态开启/关闭特定功能（如允许httpd访问网络），通过getsebool和setsebool管理。

以上策略可通过官方文档进一步细化配置，生产环境中建议优先使用targeted策略并合理调整布尔值以平衡安全与功能。