SElinux

一.SElinux简介

·SELinux是Security-.Enhanced Linux的缩写，意思是安全强化的linux
·SELinux主要由美国国家安全局(NSA)开发，当初开发的目的是为了避免资源的误用
·传统的访问控制在我们开启权限后，系统进程可以直接访问
·当我们对权限设置不严谨时，这种访问方式就是系统的安全漏洞
·在开启SElinux后
。会对进程本身部署安全上下文
。会对文件部署安全上下文
。会对服务使用端口进行限制
。会对程序本身的不安全功能做限制

二.selinux的工作原理

2.1.SElinux的工作方式
SELinux:是通过MAC的方式来控制管理进程，它控制的主体是进程，而目标则是该进程能否读取的文件
资源
·主体(subject):就是进程
·目标(object):被主体访问的资源，可以是文件、目录、端口等。
·策略(pocy)：由于进程与文件数量庞大，因此sLUx会依据某些服务来制定基本的访问安全
策略
o targeted:针对网络服务限制较多，针对本机限制较少，是默认的策略：
o strict:完整的SELinux限制，限制方面较为严格
2.2.SELinux的安全上下文
安全上下文(security context)
·主体能不能访问目标除了策路指定外，主体与目标的安全上下文必须一致才能够顶利访问，
·最终文件的成功访问还是与文件系统的wx权限设置有关
·安全上下文的查看 ls -Z

进程安全上下文 ps axZ | grep vsftpd

三，对于linux的管理及优化

3.1.SElinux的工作模式
SElinux有三种工作模式：
·enforcing:强制模式，开始限制domain/type。
·permissive:宽容模式，仅会有警告信息并不会实际限制domain/心ype的访问。
·disabled:关闭，SELinux并没有实际运行。
3.2.对于SElinux状态管理

查看当前工作状态: getenforce

临时改变工作模式：setenforce 0\1

set

3.永久更改SElinux状态

在RHEL9中需要通过修改内核启动参数来永久更改SElinux的状态

grubby --update-kernel ALL --args selinux=0
grubby --update-kernel ALL --remove-args selinux

4.重启SElinux
系统在开启SElinux)后，重启系统SElinux的所有内容不会有任何变化如果需要刷新SElinuxse

3.3.管理文件的安全上下文
1临时更改文件的安全上下文

2永久悠改安全上下文

3.刷新安全上下文

3.4.selinux对linux服务的影响qu
1.服务的功能影响
在系统SElinux开启后会为服务添加新的功能开关，我们把这个开关叫做sebool
a)查看sebool值

b)修改seboolf值

成功实现上传功能：

2.服务的端口影响

此时，nginx服务端口号为857：

将selinux改为强制模式时,nginx无法启动

在系统SElinux:开启后会规定服务使用端口
a)查看服务被允许使用的端口

此时可以发现，基于Tcp协议的端口中无857,所以无法启用nginx

b)根据需求更改被允许使用的端口

将857端口添加进去

可正常启用nginx

Warning
当更改端口之前一定要确认此端口没有被其他服务使用