SELinux 的作用
SELinux 主要作用就是最大限度地減小系統中服務進程可訪問的資源(最小權限原則)
屬於內核級加強型防火牆
在 CentOS 7 系統中,有三套政策,分別是:
targeted:對大部分網絡服務進程進行管制。這是系統默認使用的政策(下文均使用此政策)。
minimum:以 targeted 爲基礎,僅對選定的網絡服務進程進行管制。一般不用。
- mls:多級安全保護。對所有的進程進行管制。這是最嚴格的政策,配置難度非常大。一般不用,除非對安全性有極高的要求。
政策可以在 /etc/selinux/config 中設定。
1.針對文件,會對系統中每個文件添加安全上下文(context)
2.針對進程,會對系統中的每個進程添加全上下文(context)
3.會在系統服務上設定sebool開關
4.當進程安全上下文和文件的安全上下文不匹配時,那麼進程無法訪問此文件
5.sebool會限制服務的不安全功能,如果需要用此功能,必須調整sebool值
管理selinux
SELINUX 有三種工作模式,分別是:
SELINUX=enforcing ---> selinux開啓,級別爲強制
SELINUX=permissive ---> selinux開啓,級別爲警告
SELINUX=disabled ---> selinux關閉,
setenforce 0|1 ---> 更改selinux當前的級別0警告1標示強制
getenforce ---> 查看selinux的狀態
默認是強制模式,設置臨時警告模式
selinux的配置文件
vim /etc/sysconfig/selinux
關閉selinux
需重啓
注 ---> 當selinux從關到開,或者從開到關,需要重啓系統
selinux中對文件安全上下文的設定
安全上下文是 SELinux 的核心。
安全上下文我自己把它分爲「進程安全上下文」和「文件安全上下文」。
一個「進程安全上下文」一般對應多個「文件安全上下文」。
只有兩者的安全上下文對應上了,進程才能訪問文件。它們的對應關係由政策中的規則決定
臨時更改適用於更改文件安全上下文
chcon -t 安全上下文 文件
chcon -t public_content_t /var/ftp/f1
默認文件f1的上下文
注 ---> selinux默認強制級別,禁止vsftpd服務訪問文件
臨時設置安全上下文
更改後vsftpd服務可訪問文件
永久更改文件安全上下文
semanage fcontext -l
查看上下文
默認目錄test的上下文
修改 安全上下文
更改後vsftpd服務可訪問文件
selinux的bool值的設定
sebool值是控制服務功能開關
getsebool -a | grep ftp
setsebool -P bool值 on
selinux的排錯
排錯工具
排錯日誌
系統服務日誌
日誌裏會有解決方法
