如何进行linux SELinux入门

小编今天带大家了解如何进行linux  SELinux入门，文中知识点介绍的非常详细。觉得有帮助的朋友可以跟着小编一起浏览文章的内容，希望能够帮助更多想解决这个问题的朋友找到问题的答案，下面跟着小编一起深入学习“如何进行linux  SELinux入门”的知识吧。

如果你在之前的Linux生涯中都禁用或忽略了SELinux，下面进行对存在于Linux桌面或服务器之下的SELinux系统的介绍，它能够限制权限，甚至消除程序或守护进程的脆弱性而造成破坏的可能性。

回到Kernel 2.6 时代，那时候引入了一个新的安全系统，用以提供访问控制安全策略的机制。这个系统就是Security Enhanced Linux (SELinux)，它是由美国国家安全局（NSA）贡献的，它为Linux内核子系统引入了一个健壮的强制控制访问Mandatory Access Control架构。

在我开始之前，你应该已经了解的是SELinux主要是红帽Red Hat Linux以及它的衍生发行版上的一个工具。类似地， Ubuntu 和 SUSE（以及它们的衍生发行版）使用的是 AppArmor。SELinux和AppArmor 有显著的不同。你可以在SUSE，openSUSE，Ubuntu等等发行版上安装SELinux，但这是项难以置信的挑战，除非你十分精通 Linux，说了这么多，让我来向你介绍SELinux。

DAC vs. MAC

Linux上传统的访问控制标准是自主访问控制Discretionary Access Control（DAC）。在这种形式下，一个软件或守护进程以User ID（UID）或Set owner User ID（SUID）的身份运行，并且拥有该用户的目标（文件、套接字、以及其它进程）权限。这使得恶意代码很容易运行在特定权限之下，从而取得访问关键的子系统的权限。

另一方面，强制访问控制Mandatory Access Control（MAC）基于保密性和完整性强制信息的隔离以限制破坏。该限制单元独立于传统的Linux安全机制运作，并且没有超级用户的概念。

SELinux如何工作

考虑一下SELinux的相关概念:

• 主体Subjects

• 目标Objects

• 策略Policy

• 模式Mode

当一个主体Subject（如一个程序）尝试访问一个目标Object（如一个文件），SELinux安全服务器SELinux Security Server（在内核中）从策略数据库Policy Database中运行一个检查。基于当前的模式mode，如果 SELinux 安全服务器授予权限，该主体就能够访问该目标。如果SELinux安全服务器拒绝了权限，就会在/var/log/messages中记录一条拒绝信息。

听起来相对比较简单是不是？实际上过程要更加复杂，但为了简化介绍，只列出了重要的步骤。

模式

SELinux 有三个模式（可以由用户设置）。这些模式将规定 SELinux 在主体请求时如何应对。这些模式是：

• Enforcing 强制— SELinux 策略强制执行，基于 SELinux 策略规则授予或拒绝主体对目标的访问

• Permissive 宽容— SELinux 策略不强制执行，不实际拒绝访问，但会有拒绝信息写入日志

• Disabled 禁用— 完全禁用SELinux

(getenforce命令显示SELinux的状态是Enforcing启用状态)

默认情况下，大部分系统的SELinux设置为Enforcing。你要如何知道你的系统当前是什么模式？你可以使用一条简单的命令来查看，这条命令就是 getenforce。这个命令用起来难以置信的简单（因为它仅仅用来报告SELinux的模式）。要使用这个工具，打开一个终端窗口并执行 getenforce 命令。命令会返回 Enforcing、Permissive，或者Disabled（见上图）。

设置SELinux的模式实际上很简单——取决于你想设置什么模式。记住：永远不推荐关闭 SELinux。为什么？当你这么做了，就会出现这种可能性：你磁盘上的文件可能会被打上错误的权限标签，需要你重新标记权限才能修复。而且你无法修改一个以 Disabled 模式启动的系统的模式。你的最佳模式是Enforcing或者Permissive。

你可以从命令行或/etc/selinux/config文件更改SELinux的模式。要从命令行设置模式，你可以使用setenforce工具。要设置Enforcing模式，按下面这么做：

1.打开一个终端窗口
2.执行su然后输入你的管理员密码
3.执行setenforce 1
4.执行getenforce确定模式已经正确设置（如下图）

要设置模式为Permissive，这么做：
1.打开一个终端窗口
2.执行su然后输入你的管理员密码
3.执行setenforce 0
4.执行getenforce确定模式已经正确设置（如下图）

注：通过命令行设置模式会覆盖 SELinux 配置文件中的设置。
如果你更愿意在SELinux命令文件中设置模式，用你喜欢的编辑器打开那个文件找到这一行：

SELINUX=permissive

你可以按你的偏好设置模式，然后保存文件。
还有第三种方法修改SELinux的模式（通过 bootloader），但我不推荐新用户这么做。

策略类型

SELinux策略有两种：
Targeted目标 — 只有目标网络进程（dhcpd，httpd，named，nscd，ntpd，portmap，snmpd，squid，以及 syslogd）受保护
Strict严格 — 对所有进程完全的SELinux保护
你可以在/etc/selinux/config文件中修改策略类型。用你喜欢的编辑器打开这个文件找到这一行：

SELINUXTYPE=targeted

修改这个选项为targeted或strict以满足你的需求。

检查完整的SELinux状态

有个方便的SELinux 工具，你可能想要用它来获取你启用了SELinux的系统的详细状态报告。这个命令在终端像这样运行：

sestatus -v

你可以看到像下图这样的输出。

感谢大家的阅读，以上就是“如何进行linux  SELinux入门”的全部内容了，学会的朋友赶紧操作起来吧。相信亿速云小编一定会给大家带来更优质的文章。谢谢大家对亿速云网站的支持！