目标

  解释selinux如何保护资源
  更改系统当前的selinux模式
  设置系统的默认selinux模式

名词定义

• SELINUX如何保护资源

  SElinux在Linux中具有重要的安全用途，它可以允许或拒绝访问文件及其他资源，且精准度相比用户权限要大幅提高。

&bnsp; 文件权限控制了哪些用户或用户组可以访问那些特定文件。但是，被赋予对特定文件的读取或写入权限的用户可以按用户选择的任何方式使用该文件，即使这种使用方式并不是文件本该采用的方式。

  例如，对于文件的写入权限而言，结构化数据文件是否应当设计为只能使用特定的程序写入，但其他编辑器仍可以打开和修改文件，而这可能会导致损坏？

  文件权限并不能组织此类不和要求的访问。它们未设计为控制如何使用文件，而仅仅是控制谁可以读取、写入或运行文件。

  selinux由应用开发人员定义的若干组策略组成，这些策略准确声明了对于应用使用的每个二进制可执行文件、配置文件和数据文件，哪些操作和访问权限是恰当且被允许的。这被称为目标政策，因为会编写一个策略以涵盖单个应用的活动。策略声明了各个程序、文件和网络端口上放置的预定标签。

• 为什么使用selinux、

  并非所有安全问题都可以提前预测。selinux实施了一组可以防止一个应用程序的弱点影响其他应用或基础系统的访问规则。selinux提供了一个额外的安全层，此外还增加了一层复杂结构，这令该子系统的新用户感到烦恼。学习使用selinux可能会需要一些时间，但执行政策意味着系统某部分的弱点不会扩散到其他部分。如果selinux在特定的子系统上运行不佳，则可以关闭该特定服务的执行，直至找到潜在问题的解决方案。

SElinux有三种模式：

• 强制：selinux强制执行访问控制规则，计算机通常在该模式下运行。
• 许可：selinux处于激活状态，但是并不强制执行访问控制，而是记录违反规则的的警告。该模式主要用户测试和故障排查。
• 禁用：selinux完全关闭，不拒绝任何selinux违规，甚至不予记录。

• selinux安全的基本概念

  Security Enhanced Linux是一个额外的系统安全层。Selinux的主要目标是防止已遭泄露的系统服务访问用户数据。大多数linux管理员都熟悉标准的用户/组/其他权限安全模型。

实际操作

• 开启selinux

[root@sinfotek local]# cat /etc/selinux/config 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted 
##修改配置文件

[root@sinfotek ~]# getenforce 
Permissive
[root@sinfotek ~]# setenforce 1
[root@sinfotek ~]# getenforce 
Enforcing
[root@sinfotek ~]# setenforce 0
[root@sinfotek ~]# getenforce 
Permissive