教程概述面试.pdfVIP

1.1SElinux概述

SELinux(Security-EnhancedLinux)是美国国家安全局（NAS）对于强制访问控制的实现，在

这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。大部分使用

SELinux的人使用的都是SELinux就绪的发行版，例如Fedora、RedHatEnterpriseLinux

(RHEL)、Debian或Gentoo。它们都是在内核中启用SELinux的，并且提供一个可定制的

安全策略，还提供很多用户层的库和工具，它们都可以使用SELinux的功能。

1.1.1SElinux特点

1.MAC

对访问的控制彻底化，对所有的文件、、端口的访问都是基于策略设定的，可由管理员

时行设定。

2.RBAC

对于用户只赋予最小权限。用户被划分成了一些role(角色)，即使是root用户，如果不具有

sysadm_r角色的话，也不是执行相关的管理。哪里role可以执行哪些domain,也是可以修改

的。

3.安全上下文

当启动selinux的时候，所有文件与对象都有安全上下文。进程的安全上下文是域，安全上

下文由用户:角色:类型表示。

(1)系统根据pam子系统中的pam_selinux.so模块设定登录者运行程序的安全上下文

(2)rpm包安装会根据rpm包内记录来生成安全上下文，

(3)如果是手工他建的，会根据中规定来设置安全上下文，

(4)如果是cp，会重新生成安全上下文。

(5)如果是mv,安全上下文不变。

1.1.2安全上下文格式

安全上下文由user:role:type三部分组成，下面分别说明其作用：

1.useridentity:类似linux系统中的UID，提供身份识别，安全上下文中的一部分。

三种常见的user:

user_u-:普通用户登录系统后预设；

system_u-：开机过程中系统进程的预设；

root-：root登录后预设；

在targeted中users不是很重要；

在strict中比较重要，的有预设的selinuxusers都以_u结尾，root除外。

2.role

文件与的role，通常是object_r；

程序的role，通常是system_r；

用户的role，targeted为system_r；

strict为sysadm_r，staff_r，user_r

用户的role，类似于系统中的GID，不同的角色具备不同的权限；用户可以具备多个role；

但是同一时间内只能使用一role；

role是RBAC的基础；

3.type

type:用来将主体与客体划分为不同的组，组每个主体和系统中的客体定义了一个类型；为进

程运行提供最低的权限环境。

当一个类型与执行的进程关联时，该type也称为domain，也叫安全上下文。

域或安全上下文是一个进程允许操作的列表，决字一个进程可以对哪种类型进行操作。

1.1.3SElinux配置文件

vi/etc/selinux/config

#ThisfilecontrolsthestateofSELinuxonthesystem.

#SELINUX=cantakeoneofthesethreevalues:

#enforcing-SELinuxsecurityisenforced.

#permissive-SELinuxprintswarningsinsteadofenforcing.

#disabled-SELinuxisfullydisabled.

SELINUX=enforcing

#SELINUX=disabled

#SELINUXTYPE=typeofinuse.Possiblevaluesare:

#targeted-Onlytargetednetworkdaemonsareprotected.

#strict-FullSELinuxprotection.

SELINUXTYPE=targeted

#SELINUX有「disabled」「