二零二三年 优质公开课SELinux基本操作.pptx

SELinux基本操作 1. 熟悉SELinux安全上下文格式和操作命令2. 熟悉SELinux布尔值操作命令 SELinux安全上下文01 SELinux安全上下文 Linux中的每一个对象都会存储在安全上下文（Security Context）中，并将其作为SELinux判断进程能否读取对象的依据。进程和文件都有自己的安全上下文，SELinux 会为进程和文件添加安全信息标签，比如 SELinux 用户、角色、类型、类别等，当运行 SELinux 后，所有这些信息都将作为访问控制的依据。SELinux定义的安全上下文格式为：user:role:type[:sensitivity][:category] 用户：角色：类型[：灵敏度][：类别] SELinux安全上下文1) 用户（user） 用于标识该数据被哪个身份所拥有，以_u作为后缀。这个字段并没有特别的作用。常见的身份类型有以下三种：● root：表示安全上下文的身份是 root。● system_u：表示系统用户身份。● user_u：表示与一般用户账号相关的身份。2) 角色（role） 主要用来表示此数据是进程还是文件或目录，以_r作为后缀。这个字段在实际使用中也不需要修改。常见的角色有以下两种：● object_r：代表该数据是文件或目录。● system_r：代表该数据是进程。 SELinux安全上下文3) 类型（type） 类型字段是安全上下文中最重要的字段，进程是否可以访问文件，主要就是看进程的安全上下文类型字段是否和文件的安全上下文类型字段相匹配，如果匹配则可以访问。 注意：类型字段在文件或目录的安全上下文中被称作类型（type），但是在进程的安全上下文中被称作域（domain）。也就是说，在主体（Subject）的安全上下文中，这个字段被称为域；在对象（Object）的安全上下文中，这个字段被称为类型。域和类型需要匹配（进程的类型要和文件的类型相匹配），才能正确访问。 SELinux安全上下文4) 灵敏度 灵敏度代表隶属的安全等级。数值越大，代表灵敏度越高。目前已经定义的安全等级从s0-s15共16个，其中s0机密等级最低。5) 类别 类别代表隶属的分类，目前已经定义的分类从c0-c1023共1024个，类别字段不是必须有的。 SELinux安全上下文查看目录的安全上下文：查看文件的安全上下文：使用ls -Zd查看目录的安全上下文使用ls -Z查看文件的安全上下文 SELinux安全上下文查看进程的安全上下文：查看用户的安全上下文：使用ps -Z查看进程的安全上下文使用id -Z查看用户的安全上下文 SELinux安全上下文临时修改对象的安全上下文：# chcon [-R] [-u 用户] [-r 角色] [-t 类型] 目录或文件# restorecon [-R] 目录或文件恢复对象的安全上下文： SELinux安全上下文永久修改对象的安全上下文：# semanage fcontext -a 选项 目录或文件 （1） 以root身份在/etc目录中创建一个新文件file1，默认新文件将标记为etc_t类型：（2） 以root身份执行semanage 命令将file1的类型改为samba_share_t：注：使用semanage工具，需要首先安装policycoreutils-python包。 SELinux安全上下文（3） 以root身份使用restorecon命令改变类型：查看文件/etc/selinux/targeted/contexts/files/file_contexts.local SELinux布尔值02 SELinux布尔值# getsebool -a|布尔值名称 由于该命令要么查询所有规则，要么只查询一个规则，所以一般都是先查询所有规则然后用 grep 筛选。以下是用getsebool查询ftp相关的布尔值。?查看SELinux布尔值： SELinux布尔值 修改SELinux布尔值：# setsebool [-P] 布尔值名称=值 其中-P参数表示永久修改，如果没加-P，则只会暂时修改布尔值，下次重启开机后，就会恢复默认值。布尔值名称后面的“值”有两种写法，用1或者on表示启动布尔值，用0或者off表示停用该布尔值。以下是用setsebool修改布尔值ftpd_anon_write为on，表示FTP服务器开启匿名用户写的权限。 1.SELinux安全上下文 --格式 --查看安全上下文 --修改安全上下文(chcon，restorecon，semanage)2.SELinux布尔值 --查看（getse