centosde 啓動流程與安全加固selinux

centos6啓動流程

一、上電POST自檢，加載BIOS的硬件信息，獲取第一個啓動設備
二、讀取第一個啓動設備MBR裏的引導加載程序（grub）的啓動信息
三、加載核心操做系統的核心信息，核心開始解壓縮，並嘗試驅動全部的硬件設備
四、核心執行init程序，並獲取默認的運行信息
五、init程序執行/etc/rc.d/rc.sysinit文件
六、啓動核心的外掛模塊
七、init執行運行的各個批處理文件（scripts）
八、init執行/etc/rc.d/rc.local
九、執行/bin/login程序，等待一會登陸
十、登陸以後開始以shell控制主機

.如圖所示

MBR(Master Boot Recorder)，

咱們稱之爲主引導記錄。  
BIOS是怎樣尋找可啓動設備的呢？  
咱們知道在分區時，硬盤的第一塊扇區512個字節就是存放的MBR，  
若是該設備是可啓動設備，那麼該扇區的最後兩個字節確定是55/AA，  
因此此時在尋找可啓動設備時，若是發現該設備的最後兩個字節是這個，  
那麼該設備就是可啓動設備。
BIOS在找到可啓動設備之後就會執行其引導代碼，  
由於MBR佔據了第一塊扇區的512字節，分區表佔用了 16*4=64字節，  
再加上最後兩個標誌字節，  
因此MBR的引導代碼就是MBR的前446個字節，  
固然這446個字節過小了，並不能完成整個操做系統的引導程序，  
因此這446個字節裏面可能存放的就是啓動引導程序的一些代碼。

GRUB

是引導加載程序，  
 將引導操做系統，啓動引導器是計算機啓動過程當中運行的第一個真正的軟件，  
計算機啓動時在經過BISO自檢後讀取並運行引導介質上最前面的扇區  
即硬盤主引導扇區(MBR)中的啓動引導器程序，   
這裏的扇區中：MBR佔據了第一塊扇區的512字節，  
但其實際只佔用了其中的446個字節，  
另外的64個字節交給了DPT（Disk Partition Table硬盤分區表），  
最後兩個字節「55，AA」是分區的結束標誌。  
啓動引導器在負責加載啓動硬盤分區中的操做系統。  
若是啓動引導器不能正常工做，將致使操做系統不能正常啓動，  
從而整個計算機癱瘓。  
一般，每一個操做系統在安裝過程當中都要將自帶的啓動器寫在硬盤(MBR)，  
以便能過進行自身的 引導

自定義啓動腳本，添加啓動項中

安全加固selinux

selinux是⼀種安全策略機制。  
selinux有四種⼯做類型：
trict：在centos5中，每一個進程都受到selinux的控制；
targeted：用來保護常見的網絡服務，僅有限進程受到selinux控制，centos5保護88個務；
minimunm：在centos7中修改targetd，只對選擇的網絡服務；
mls：提供MLS（多級安全）機制的安全性。
通常設置默認爲targeted類型，不須要修改。  

selinux有三種⼯做狀態：
enforce：強制，每一個受限的進程都必然受限；
permissive：容許，每一個受限的進程違規操做不會被禁止，但會被記錄於審計日誌；
disabled：禁用.  

# selinux  
安全標籤 的說明  
安全標籤又成安全上下文  
即content值：unconfined_u:object_r:httpd_sys_content_t:s0

安全上下⽂有五個元素組成，  
格式爲：user:role:type:sensitivity:category   （⼀般category部分不顯⽰，）  
unconfined_u：表明的是user位置，指示登陸系統的用戶類型，如root,user_u,system_u,  
多數本地進程都屬於自由（unconfined）進程；
 object_r：表明的是role位置，定義文件，進程和用戶的用途：文件:object_r，  
 進程和用戶： system_r；
 httpd_sys_content_t：表明的是type位置，指定數據類型，  
 規則中定義何種進程類型訪問何種文件Target策略基於type實現,  
 多服務共用：public_content_t；
s0：表明的是sensitivity位置，限制訪問的須要，  
由組織定義的分層安全級別，  
如unclassified, secret,top,secret, ⼀個對象有且只有⼀個sensitivity,  
分0-15級， s0最低,Target策略默認使⽤s0；  
Category：對於特定組織劃分不分層的分類，  
如FBI Secret，NSA secret,   
一個對象能夠有多個categroy，c0-c1023共1024個分類，  
Target 策略不使用ategory