安全的加强的linux：SELinux

 selinux；全称安全加强的linux

secutity enhanced linux

 

 

上个世纪80年代美国国家安全属NSA研发出

MAC：强制访问控制

 

linux安全模型，每一个用户，他所拥有的文件，他想共享使用。

例如redhat用户，想让gentoo用户对自己的a.txt权限664的文件有写权限。

 

就需要修改权限664-->666（DAC自主访问控制）

 

这样一来就有很大的风险，其他用户也有了写权限。

 

 进程的执行取决去用户所拥有的权限，我们只想让gentoo对a.txt具有写权限，进行修改。对其他任何文件都不能修改。

 

那么我们就需要对他进行一些限制，将他能执行的操作，仅限于a.txt这个文件。

 

我们就借助sandbox：沙盒 将他的权限限定在某个特定目标

 

我们定义一个进程类型为t1，在定义一个目标为t2

我们制定一个策略表，t1只能对t2执行什么操作，把活动范围限制在沙盒。

 

就是提供了一个域，将活动范围限定在这个域之内。

subject：domain（type）

 

例如：一个web网站，linux系统上需要用户发起httpd进程来访问。这个用户拥有rx权限。我们只需要用户查看网页就行了，不能让他访问我们的系统，那么只要将他限定在一个域内就行了。比如我们建一个目录

/var/www,我们把用户的httpd进程活动范围限制在这个目录。他就算搞破坏，也只是针对这个目录，无法搞坏我们整个系统。

 

MAC做进了内核，-->SELinux

 

selinux的模型：

 

strict模型：安全级别太高，每一个进程都需要严格设定，五角大楼才用 - -！！

 

target模型：只对可能有风险的进行限定，web，ftp，http等

 

在/etc/selinux/config定义了类型

SELINUXTYPE=target在最后一行

可以关闭，只要修改SELINUX=enforcing

enforcing-状态为生效

permissive-状态为生效，但不强制，只警告不阻止。发送邮件至日志

disabled-不开启

下次开机生效

getenforce查看当前生效的模型

setenforce 0 或1改变状态，在enforcing与permissive之间切换

 

/etc/sysconfig/selinux链接/etc/selinux/config

 

类型强制：selinux为每一个进程分配了一个标签

 

label：标签

user：用户

role：组

type：类型

 

#ls -Z  字段user：role：type 查看文件标签

#ps -axZ                      查看进程标签

定义规则，策略在/etc/selinux/targeted/policy/policy.21

它是二进制格式，不可直接制定，需要文本文件，在进行转换

 

改变文件的类型# chcon -t 类型 文件名

 

我们可以通过修改文件标签来限制进程访问文件

 

restorecon -vvF 恢复文件类型

如果是目录，只改目录本身。要想对其子目录及其文件生效，使用-R

 

如果ftp被selinux限制，就不能上传了。

使用getsebool -a | less 查看进程功能的开启与关闭

修改方法：setsebool 功能名 no或off

当前生效，永久有效要加-P选项