Linux初学——更改SELinux强制模式
目录
SELinux 概述
SELinux 工作模式
SELinux策略——安全规则
常用命令
常见问题排查
实际应用示例
知识点问答题
SELinux 概述
SELinux(Security-Enhanced Linux)是一种基于Linux 内核的安全模块,通过强制访问控制(MAC)机制增强系统安全性。它关心的是进程有哪些权限。
SELinux 工作模式
它有三种工作模式
- 强制模式(Enforcing)
策略规则被强制执行,违反规则的操作会被阻止并记录日志。(默认是这个模式) - 宽容模式(Permissive)
仅记录违反规则的操作,不阻止执行。常用于调试策略。 - 禁用模式(Disabled)
完全关闭 SELinux,系统回归传统 DAC 控制。(不建议)
SELinux策略——安全规则
它定义特定的进程如何访问相关的文件、目录和端口;
每个资源(进程、文件、端口)它都会有一个特定的标签,这就是SELinux上下文,而这个上下文由SELinux策略规则规定,默认情况规则不允许访问。
下面就是这个标签(SELinux上下文)的5个字段:
user:role:type:level:category
我们主要看type这个字段,类型上下文名称通常以 _t 结尾。
常用命令
许多列出资源的命令都可以使用 -Z 选项来管理SELinux上下文:
ps axZ ls -Z /var/www检查当前 SELinux 模式:
getenforce临时切换模式(需 root 权限):
setenforce 0 # 切换为 Permissive setenforce 1 # 切换为 Enforcing若要持久的配置SELinux模式,就需要修改/etc/selinux/config文件中的参数:
#先进入文件 vim /etc/selinux/config #将"SELINUX="此行进行修改,例如设置为enforcing模式 SELINUX=enforcing #按i可以进行编辑,找不到可以在默认模式下键入“/+需要搜索的词”进行搜索,按n切换匹配的下一个修改文件安全上下文(两种方式):
#先使用semanage fcontext创建文件上下文策略 semanage fcontext -a -t httpd_sys_content_t '/virtual(/.*)?' #(/.*)?是扩展正则表达式,表示匹配此目录以及目录下的文件名 #再使用restorecon -Rv来设置默认上下文 restorecon -Rv /virtualchcon -t httpd_sys_content_t /path/to/file #将/path/to/file文件的上下文改为httpd_sys_content_t恢复默认上下文:
restorecon -Rv /path/to/directory常见问题排查
- 权限拒绝
检查/var/log/audit/audit.log或使用ausearch工具分析日志。 - 恢复错误标签
使用restorecon恢复默认上下文。
实际应用示例
允许 Apache 访问非默认目录:
semanage fcontext -a -t httpd_sys_content_t "/custom/path(/.*)?" restorecon -Rv /custom/path启用 HTTP 服务使用非标准端口:
semanage port -a -t http_port_t -p tcp 8080知识点问答题
- SELinux 是如何保护资源的?
通过强制访问控制MAC来保护资源,规定文件的权限,防止越权访问资源
- 什么是强制访问控制(MAC)?它有什么特点?
MAC是由系统根据全局安全策略来规定所有主体对客体访问权限的机制;
特点是所有安全规则由系统管理员或安全策略统一规定,不循序随意更改安全标签,没有规定情况下默认禁止,即使是root用户有些策略也会限制访问
- 什么是 SELinux 上下文?
标签,规定这个文件的权限
- setenforce 0 命令的作用是什么?
禁用SELINUX
- 定义一条 SELinux 文件上下文规则,以便将 /custom 目录及目录中所有文件的上下文类型设置为 httpd_sys_content_t。
Semanage fcontext -a -t httpd_sys_content_t ‘/custom(/.*)?’
Restorecon -R /custom