linux selinux

1.介绍

selinux是 security enhanced linux ,安全强化linux,是linux内核的一个模块,我的理解就是按照进程来设置权限,而不是传统的用户角色,这样就避免了root被盗窃而引起的一系列安全问题,因为root拥有最高权限.

2.策略

主要有三种策略:

1.targeted: 针对网络限制多,本机限制少,默认的设置.

2.minimum: 针对选择的进程来保护.

3.mis: 完整的selinux限制,限制比较严格.

3.查看

ls -Z

输入这个命令我们可以看到selinux的权限

 

unconfined_u:object_r:admin_home_t 分别代表:

Identify:role:type 身份识别:角色:类型

最重要的是类型,在文件中称为type,进程中称为domain.

所以说,文件的权限不能仅仅查看rwx,还要查看selinux的权限.

 4. SELinux的三种模式

enforcing: 强制模式,selinux运行中,已经开始限制domain/type;

permissive: 宽容模式,selinux运行中,不过仅会有警告信息并不会实际限制domain/type的读写.

disabled: 关闭模式,selinux并没有实际运行.

可以执行下列命令查看selinux模式

getenforce

可以执行下列命令查看selinux策略

sestatus

可以通过修改/etc/seLinux/config文件来修改selinux配置

vim /etc/sellnux/config

可以通过执行setenforce来修改宽容模式和强制模式

setenforce [0|1]

 

5. SElLinux 策略内的规则管理

查看常用的命令是 getsebool , seinfo , sesearch, 不过需要安装软件

#查看所有规则
getsebool -a
#列出selinux在此策略下的统计状态
#需安装软件yum install setools-console.x86_64
seinfo

#找出crond_t这个主体进程能够读取的文件SELinux类型
#一样需安装软件yum install setools-console.x86_64
sesearch -A -s crond_t | grep spool

#修改SELinux规则的布尔值
setsebool -P [规则] [0|1]

 

6. SELinux安全上下文的修改

chcon修改

#chcon修改类型
chcon -v -t net_conf_t /etc/cron.d/checktime

上述命令把/etc/cron.d/checktime修改为net_conf_t的类型.

#或者我们可以加上 --reference=来根据文件设置类型
chcon -v --reference=/etc/shadow /etc/cron.d/checktime

上述命令把/etc/cron.d/checktime文件类型设置为/etc/shadow的文件类型.

restorecon修改

我们可以直接执行restorecon命令来修改目录下的文件为默认的SELinux类型

restorecon -Rv /etc/cron.d

这个命令比较常用,不容易出错

semanage

查看/etc/cron.d目录下设置的SELinux类型

semanage fcontext -l | grep -E '^/etc |^/etc/cron'

 

.