SELinux管理

root 用户实在是一个超人,它在 Linux 系统当中就是无所不能的,而且读、写和执行权限对 root 用户完全没有作用。root 用户的存在极大地方便了 Linux 的管理,但是也造成了一定的安全隐患。

大家想象一下,如果 root 用户被盗用了,或者 root 用户本身对 Linux 并不熟悉,在管理 Linux 的过程中产生了误操作,则会造成什么样的后果?

其实绝大多数系统的严重错误都是由于 root 用户的误操作引起的,来自外部的攻击产生的影响反而不是那么严重。root 用户的权限过高了,一些看似简单、微小的操作,都很有可能对系统产生重大的影响。最常见的错误就是 root 用户为了管理方便,给重要的系统文件或系统目录设置了 777 权限,这会造成严重的安全隐患。

SELinux 是由美国国家安全局(NSA)开发的,整合在 Linux 内核当中,针对特定的进程与指定的文件资源进行权限控制的系统。即使你是 root 用户,也必须遵守 SELinux 的规则,才能正确访问正确的资源,这样可以有效地防止 root 用户的误操作(当然,root 用户可以修改 SELinux 的规则)。

需要注意的是,系统的默认权限还是会生效的,也就是说,用户既要符合系统的读、写、执行权限,又要符合 SELinux 的规则,才能正确地访问系统资源。
本章内容:
1. SELinux是什么
2. SELinux的主要作用
3. SELinux 的工作模式(Disabled、Permissive和Enforcing)
4. SELinux配置文件(/etc/selinux/config)
5. SELinux工作模式设置(getenforce、setenforce和sestatus命令)
6. SELinux安全上下文查看方法(超详细)
7. SELinux安全上下文的修改和设置(chcon和restorecon命令)
8. SELinux默认安全上下文的查询和修改(semanage命令)
9. SELinux auditd日志系统的安装与启动
10. SELinux auditd日志使用方法详解
11. SELinux Targeted、MLS和Minimum策略
12. SELinux策略规则查看方法(seinfo和sesearch)详解
13. SELinux策略规则的开启和关闭(详解版)