linux之selinux

SELinux 的做用

SELinux 主要做用就是最大限度地減少系統中服務進程可訪問的資源（最小權限原則）
屬於內核級增強型防火牆
在 CentOS 7 系統中，有三套政策，分別是：

1. targeted：對大部分網絡服務進程進行管制。這是系統默認使用的政策（下文均使用此政策）。

2. minimum：以 targeted 爲基礎，僅對選定的網絡服務進程進行管制。通常不用。

3. mls：多級安全保護。對全部的進程進行管制。這是最嚴格的政策，配置難度很是大。通常不用，除非對安全性有極高的要求。

政策能夠在 /etc/selinux/config 中設定。
1.針對文件，會對系統中每一個文件添加安全上下文（context）
2.針對進程，會對系統中的每一個進程添加全上下文（context）
3.會在系統服務上設定sebool開關
4.當進程安全上下文和文件的安全上下文不匹配時，那麼進程沒法訪問此文件
5.sebool會限制服務的不安全功能，若是須要用此功能，必須調整sebool值

管理selinux

SELINUX 有三種工做模式，分別是：
SELINUX=enforcing ---> selinux開啓，級別爲強制
SELINUX=permissive ---> selinux開啓，級別爲警告
SELINUX=disabled ---> selinux關閉，
setenforce 0|1 ---> 更改selinux當前的級別0警告1標示強制
getenforce ---> 查看selinux的狀態
默認是強制模式，設置臨時警告模式

selinux的配置文件
vim /etc/sysconfig/selinux

關閉selinux

需重啓

注 ---> 當selinux從關到開，或者從開到關，須要重啓系統

selinux中對文件安全上下文的設定
安全上下文是 SELinux 的核心。

安全上下文我本身把它分爲「進程安全上下文」和「文件安全上下文」。

一個「進程安全上下文」通常對應多個「文件安全上下文」。

只有二者的安全上下文對應上了，進程才能訪問文件。它們的對應關係由政策中的規則決定
臨時更改適用於更改文件安全上下文
chcon -t 安全上下文 文件
chcon -t public_content_t /var/ftp/f1
默認文件f1的上下文

注 ---> selinux默認強制級別，禁止vsftpd服務訪問文件
臨時設置安全上下文

更改後vsftpd服務可訪問文件

永久更改文件安全上下文
semanage fcontext -l
查看上下文

默認目錄test的上下文

修改 安全上下文


更改後vsftpd服務可訪問文件

selinux的bool值的設定
sebool值是控制服務功能開關

getsebool -a | grep ftp

setsebool -P bool值 on

selinux的排錯
排錯工具

排錯日誌

系統服務日誌

日誌裏會有解決方法