Linux网络安全篇，进入SELinux的世界（一）

SELinux

即安全强化的Linux。

一、基本概念

SELinux是通过MAC（强制访问控制，，可以针对特定的进程与特定的文件资源来进行访问权限的控制！也就是说即使你是root，在使用不同的进程时，获得的权限不一定是root）的方式来管理进程，目标是控制该进程对文件资源的读写权限。

1.策略

由于进程和文件数量非常庞大，所以SELinux会依据某些服务来指定基本的访问安全性策略。它通过详细的规则来指定服务开放与否。

策略分为以下两种：

1.targeted:针对网络服务限制较多，针对本机较少，是默认的策略。

2.strict:完整的SELinux限制，限制方面较为严格。

2.主体

当前模式下可以理解为进程

3.安全上下文

类似于文件系统的rwx权限（注意是类似）。安全上下文存在于主体进程（进程在内存中）中与目标文件资源中。

安全上下文是放置于文件的inode内的。

二、实战演练

1.查看SELinux当前状态

getenforce

enforcing:强制模式，代表SELinux正在运行中，且已经正确开始限制domain/type了。

permissive:宽容模式，代表SELinux正在运行中，但并不起限制作用。用于调试

disabled:关闭，SELinux并没有实际运行

2.查看SELinux的策略

sestatus

3.SELinux的配置文件

/etc/selinux/config

4.SELinux的启动与关闭

（1）到上述提到的配置文件中修改SELINUX与SELINUXTYPE的值

（2）到/boot/grub/menu.lst查看，不能出现selinux=0的字样。否则就无法启动SELinux

5.切换SELinux模式

 setenforce [1|0]

1:转成enforcing强制模式

0:转成permissive兼容模式

注意：setenforce无法在Disabled的模式下进行模式的切换。