阅读数:53 评论数:0

一、概述

SELinux（Security-Enhanced Linux）是一个强制访问控制（MAC）安全架构，它是内核的一部分，由美国国家安全局（NSA）开发，并在社区的帮助下维护。SELinux 提供了一种机制来支持访问控制安全策略，并且可以用来限制程序只能访问它们需要的资源，从而减少或防止安全漏洞被利用。

SELinux 通过为系统上的每个资源（如文件、设备、网络端口等）分配标签（通常称为"上下文"）来工作。然后，它使用这些标签来决定各种主体（如用户、进程等）是否可以访问这些资源。SELinux 的策略非常灵活，可以配置为允许或拒绝几乎任何类型的访问。

1、三种模式

2、常用命令

二、启动、关闭与查看

目前SELinux支持三种模式，分别

（1）enforcing：强制模式，代表正在运行，且已正确开始限制doman/type了

（2）permissive：宽容模式，代表正在运行，不过仅会有警告信息并不会实际限制domain/type的访问

（3）disabled：关闭

#获取当前模式
getenforce

#列出SELinux的策略
sestatus [-vb]
-v：检查列于/etc/sestatus.conf内的文件与程序的安全上下文内容
-b：将目前策略的规则布尔值列出


setenforce [0|1]
0：转成permissive
1：转成enforcing

也可以直接修改/etc/selinux/config文件，如果由enforcing或permissive改变是disable或反过来，需要重启。

三、重设SELinux安全上下文

（1）chcon

chcon [-R] [-t type] [-u user] [-r role] 文件
chcon [-R] -reference=范例文件  文件
-R：连同该目录下的子目录也同时修改
-reference：拿某个文件当范例来修改后续的文件

（2）restorecon

使用默认的上下文修复。

restorecon [-Rv]  文件或目录
-R：连同子目录也修改
-v：显示过程

四、策略与规则

（1）seinfo

seinfo [-Atrub]
-A：列出SELinux的所有规则 
-t：列出所有类型种类
-r：列出所有角色种类
-u：列出氖身份标识种类
-b：列出所有规则种类（布尔值）

（2）sesearch

sesearch [-a] [-s 主体类型] [-t 目标类型] [-b 布尔值]
-a：列出该类型或布尔值的所有相关信息
-t：后面还要接类型
-b：后面接布尔值的规则 

（3）布尔值的查询与修改

getsebool [-a] [布尔值条款]
-a：列出目前系统上面的所有布尔值条款为开启或关闭
setsebool [-P] 布尔值=[0|1]
-P：直接将值写入配置文件，

（4）默认目录的安全上下文查询与修改

semanage {login|user|port|interface|fcontext|translation} -l
semanage fcontext -{a|d|m} [frst] file_spec
fcontext：主要用在安全上下文方面的用途，
-l：查询
-a：增加
-m：修改
-d：删除