学习Linux-什么是SELinux

¶1、什么是SElinux?

selinux是由美国国家安全局开发的一种加载在内核的强制访问控制子系统（MAC），弥补自主访问控制（DAC）缺陷。

¶2、SElinux运行模式

selinux控制主体是进程，目标是文件系统，以targeted,strict两种策略限制访问
除了策略限制外，还有安全上下文（放置在inode）限制，访问需要安全上下文一致。

¶安全上下文

ls -Z :查看安全上下文
安全上下文分三个字段：
身份标识（identify）:root,system_u(系统进程),user_u（用户账号）
角色（rule）：object_r（文件目录）,system_r（进程）
类型（type）：type（文件资源）,domain（主体程序）

¶3、SElinux的启动、运行、关闭与查看

三种模式：enforcing：强制模式，premissive：宽容模式，disabled：关闭模式
getenforce：查看当前模式
sestatus：列出当前使用策略
vim /etc/selinux/config：修改模式与策略   注：改变策略后需要重新启动
vim /boot/grub/menu.lst：查看内核中selinux有没关闭
setenforce 0 1 ：0为宽容模式，1为强制模式

¶4、selinux网络服务运行

¶改变安全上下文

chcon -R(连同子目录) -t（type） -u（user） -r（r0le） filename
chcon -R --references=范例文件 文件 ：将文件安全上下文修改为范例文件的
restorecon -Rv 文件，目录：修改为默认安全上下文

¶5、SElinux所需服务

settroubleshoot：将错误信息写入/var/log/messages，比较全面
chkconfig on ：开机启动
auditd：将详细数据写入/var/log/auditd/auditd.log
auditd2why < /var/log/auditd/auditd.log：汇报查询的错误信息

¶6、SElinux的策略与规则管理

seinfo -A(all) -t(type) -r(role) -u(user) -b(bool值) ：查询策略提供的规则
sesearch -a(all) -s(主体类型) -t(目标类型) -b(bool值) :查询相关的详细规则
getsebool -a(all) bool值 查询布尔值状态
setsebool -p bool=0|1 改变布尔值状态并写入配置文件
semanage foontext(用于安全上下文) -a(增加)|d（删除）|m（修改） -1
semanage foontext -a -t(type) 修改的类型 ：定制自定义类型