一、SELinux簡介
RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大變化就在於集成了SELinux的支持。
SELinux的全稱是Security-Enhanced Linux,是由美國國家安全局NSA開發的訪問控制體制。
SELinux可以最大限度地保證Linux系統的安全。至於它的作用到底有多大,舉一個簡單的例子可以證明:
沒有SELinux保護的Linux的安全級別和Windows一樣,是C2級,但經過保護SELinux保護的Linux,安全級別
則可以達到B1級。如:我們把/tmp目錄下的所有文件和目錄權限設置為0777,這樣在沒有SELinux保護的情
況下,任何人都可以訪問/tmp 下的內容。而在SELinux環境下,盡管目錄權限允許你訪問/tmp下的內容,
但SELinux的安全策略會繼續檢查你是否可以訪問。
NSA推出的SELinux安全體系結構稱為 Flask,在這一結構中,安全性策略的邏輯和通用接口一起封裝在與
操作系統獨立的組件中,這個單獨的組件稱為安全服務器。SELinux的安全服務器定義了一種混合的安全性
策略,由類型實施 (TE)、基於角色的訪問控制 (RBAC) 和多級安全(MLS) 組成。通過替換安全服務器,可
以支持不同的安全策略。SELinux使用策略配置語言定義安全策略,然後通過checkpolicy 編譯成二進制形
式,存儲在文件(如目標策略/etc/selinux/targeted/policy/policy.18)中,在內核引導時讀到內核空間
。這意味著安全性策略在每次系統引導時都會有所不同。
SELinux的策略分為兩種,一個是目標(targeted)策略,另一個是嚴格(strict)策略。有限策略僅針對部分
系統網絡服務和進程執行SELinux策略,而嚴厲策略是執行全局的NSA默認策略。有限策略模式下,9個(可
能更多)系統服務受SELinux監控,幾乎所有的網絡服務都受控。
配置文件是/etc/selinux/config,一般測試過程中使用“permissive”模式,這樣僅會在違反SELinux規
則時發出警告,然後修改規則,最後由用戶覺得是否執行嚴格“enforcing”的策略,禁止違反規則策略的
行為。
規則決定SELinux的工作行為和方式,策略決定具體的安全細節如文件系統,文件一致性。
在安裝過程中,可以選擇“激活”、“警告”或者“關閉”SELinux。默認設置為“激活”。
安裝之後,可以在“應用程序”-->“系統設置”-->“安全級別”,或者直接在控制台窗口輸入“system
-config- securitylevel”來打開“安全級別”設置窗口。在“SELinux”選項頁中,我們不但可以設置“
啟用”或者“禁用”SELinux,而且還可以對已經內置的SELinux策略進行修改。
SELinux相關命令:
ls -Z
ps -Z
id -Z
分別可以看到文件,進程和用戶的SELinux屬性。
chcon 改變文件的SELinux屬性。
getenforce/setenforce查看和設置SELinux的當前工作模式。
修改配置文件/etc/selinux/config後,需要重啟系統來啟動SELinux新的工作模式。
