SElinux的管理

SELinux是「Security-Enhanced Linux」的简称，是美国国家安全局「NSA=The National Security Agency」 和SCC（Secure Computing Corporation）开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的，2000年以 GNU GPL 发布。

基本SElinux安全概念

SELINUX(安全增强型 Linux)是可保护你系统安 全性的额外机制
在某种程度上 , 它可以被看作是与标准权限系统并行 的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制 哪些用户对哪些文件具有哪些访问权 SELINUX 的 另一个不同之处在于 , 若要访问文件 , 你必须具有普通访问权限和 SELINUX 访问权限。因此 , 即使以超级 用户身份 root 运行进程 , 根据进程以及文件或资源 的 SELinux 安全性上下文可能拒绝访问文件或资 源限 ) 标签。

SElinux的简单配置过程

vim /etc/sysconfig/selinux

进入配置文件进行修改如下

getenforce命令查看SElinux是否开启

安全上下文的修改与查看
查看 SELinux 文件上下文
什么确定文件的初始 SELinux 上下文 ? 通常是父目录。将父 目录的上下文指定给新创建的文件。这对 vimcp 和 touch 等 命令其作用 , 但是 , 如果文件是在其他位置创建的并且保留了权 限(与 mv 或 cp-a 一样)则还将保留 SELinux 上下文
许多处理文件的命令具有一个用于显示或设置 SELinux 上下 文的选项(通常是 -Z)。例如,ps 、 ls 、cp 和 mkdir 都 使用 -Z 选项显示或设置 SELinux 上下文
显示上下文
– psaxZ – ps-ZC – ls-Z

上下文的修改
chcon-t– 一次性定制安全上下文，执行 restorecon 刷新后还原

semanage fcontext– 永久更改文件的上下文

修改之后

semanage fcontext命令

restorecon 是 policycoreutil 软件包的一部分 semanage 是 policycoreutil-python 软件包的一部分
semanage fcontext 可用与显示或修改 restorrecon 用来 设置默认文件上下文的规则
semanage fcontext 使用扩展正则表达式来指定路径和文 件名。 fcontext 规则中最常用的扩展正则表达式是 (/.*)?, 表示随意地匹配 / 后跟任何数量的字符
semanage fcontext 将递归地与在表达式前面列出的目录 以及该目录中的所有内容相匹配
简单的使用

SELinux布尔值的管理

SELinux 布尔值是更改 SELinux 策略行为的开关。 SELinux 布尔值是可以启用或禁用的规则。安全管理员可 以使用 SELinux 布尔值来调整策略 , 以有选择地进行调整
许多软件包都具有 man page *_selinux(8), 其中详细说明 了所使用的一些布尔值 ; man -k ‘_selinux’ 可以轻松地找 到这些手册
getsebool 用于显示布尔值 , setsebool 用于修改布尔值 setsebool -P 修改 SELinux 策略 , 以永久保留修改。
semanage boolean -l 将显示布尔值是否永久
以下为举例

其中on为1off为0


可以设置服务的bool值

永久设定

setroubleshoot软件的使用

必须安装 setroubleshoot-server 软件包 , 才能将 SELinux 消息发送至 /var/log/messages
etroubleshoot-server 侦听 /var/log/audit/audit.log 中的审核信息并将简短摘 要发送至 /var/log/messages
摘要包括 SELinux 冲突的唯一标识符 ( UUIDs ), 可用于收集更多信息。 Sealert-lUUID用于生成 特定事件的报告。 Sealert-a /var/log/audit/audit.log 用于在该文件中生成所有 事件的报告