SELinux安全方式

一、SElinux配置文件

在CentOS 7系统中部署SELinux非常简单，由于SELinux已经作为模块集成到内核中，默认SELinux已经处于激活状态。对管理员来说，更多的是需要配置与管理SELinux，CentOS 7系统中SELinux全局配置文件为/etc/sysconfig/selinux，内容如下：

[root@centos7 ~]# vim /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # mls - Multi Level Security protection. SELINUXTYPE=targeted

SELinux=enforcing为SELinux总开关，有效值可以是enforcing、permissive或disabled。

其中，disabled代表禁用SELinux功能，由于SELinux是内核模块功能，所以如果设置禁用，需要重启计算机。permissive代表仅警告模式，处于此状态下时，当主题程序试图访问无权限的资源时，SELinux会记录日志但不会拦截该访问，也就是最终访问是成功的，只是在SELinux日志中记录而已。enforcing模式代表强制开启，SELinux会拦截非法的资源访问并记录相关日志。

使用setenforce可以临时在enforcing模式与permissive模式之间切换，切换会被立刻应用于当前系统，计算机重启后无效，永久修改模式需要修改配置文件。

[root@centos7 ~]# setenforce 0 #设置SELinux为permissive模式 [root@centos7 ~]# setenforce 1 #设置SELinux为enforcing模式

二、SELinux安全上下文

SELinux会为进程与文件添加安全信息标签，如：SELinux用户、角色、类型以及可选的级别。当运行SELinux后所有这些信息都是访问控制的依据。下面通过一个实例文件查看SELinux安全上下文，使用ls -Z命令就可以看到文件或目录的这些上下文信息，而ps aux CZ则可以查看进程的安全上下文信息：

[root@centos7 ~]# ls -Z anaconda-ks.cfg -rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg [root@centos7 ~]# ps aux -Z

SELinux的安全上下文包括

用户：角色：类型：级别

三、SELinux排错

不管SELinux策略是允许还是拒绝资源的访问请求行为，都会记录日志，也就是AVC（Access Vector Cache）。所有SELinux拒绝的消息都会被记录进日志，根据系统中安装运行的服务进程不同，拒绝日志消息会被记录到不同的文件中，表6-2列出了进程与日志文件的关系。