SELINUX

1.概念

SELinux（Security-Enhanced Linux）是一种强制访问控制（MAC）安全机制，用于增强 Linux 系统的安全性。SELinux 最初由美国国家安全局（NSA）开发，后来成为 Linux 内核的一部分。SELinux 的主要目的是限制潜在恶意软件和用户对系统资源的访问，从而提高系统安全性。

2.SELinux 的工作原理

SELinux 实施安全策略，定义了哪些主体（如用户、进程）可以访问哪些客体（如文件、目录、设备）。在 SELinux 中，安全上下文（也称为标签）用于标识主体和客体。当主体尝试访问客体时，SELinux 根据定义的安全策略判断是否允许此访问。如果访问被允许，则操作继续；否则，SELinux 阻止访问并记录违规行为。

3.SELinux 模式

SELinux 有三种运行模式：

Enforcing：在此模式下，SELinux 会强制实施安全策略。任何违反策略的操作都会被阻止并记录到日志中。
Permissive：在此模式下，SELinux 不会阻止任何操作，但会记录所有违反安全策略的行为。这对于调试和解决问题非常有用。
Disabled：此模式会完全禁用 SELinux。

4.策略

SELinux 策略：
SELinux 安全策略定义了主体和客体之间的允许和禁止的交互。常见的策略类型有：
Targeted：此策略仅对特定的目标服务进行保护，其他服务运行在无限制的域中。这是大多数 Linux 发行版中的默认策略。
Strict：此策略对所有服务和进程进行保护。这要求管理员为每个服务和进程定义精确的权限，通常在高安全性环境中使用。

5.管理SELINUX

管理 SELinux：
要查看 SELinux 的当前状态，可以使用 getenforce 或 sestatus 命令。要更改 SELinux 配置，需要编辑 /etc/selinux/config 文件。完成修改后，需要重启系统以使更改生效。

SELinux 提供了一组命令行工具（如 chcon，restorecon，semanage 等）用于管理安全上下文和策略。有时，你可能需要为某个文件或服务更改安全上下文，以便在 SELinux 环境中正常运行。

总之，SELinux 是一种强制访问控制安全机制，旨在提高 Linux 系统的安全性。通过实施安全策略，SELinux 可以限制潜在的恶意软件和用户对系统资源的访问。虽然 SELinux 可以显著提高系统安全性，但它也可能增加系统管理的复杂性。因此，在使用 SELinux 时，管理员需要充分了解其工作原理以及如何配置和管理安全策略。

6.生产中实际问题

在实践中，你可能会遇到一些与 SELinux 相关的常见问题，例如：

1.服务启动失败：如果某个服务无法启动，可能是因为 SELinux 阻止了该服务的访问权限。在这种情况下，检查 SELinux 日志（通常位于 /var/log/audit/audit.log）以获取有关拒绝访问的详细信息。你可以使用 audit2why 和 audit2allow 工具分析日志，并根据需要生成自定义 SELinux 策略模块。

文件访问受限：当应用程序无法访问特定文件或目录时，可能是因为 SELinux 上下文不正确。使用 ls -Z 命令查看文件或目录的安全上下文，并使用 chcon 或 semanage 命令更改为正确的上下文。

网络访问受限：SELinux 可以限制进程在特定端口上的网络访问。如果你需要在非标准端口上运行服务，可以使用 semanage 命令添加新的端口映射。

容器与 SELinux：使用容器技术（如 Docker 或 Kubernetes）时，SELinux 可能会限制容器对宿主系统资源的访问。在这种情况下，你需要配置 SELinux 策略以允许容器访问所需的资源。

要成功管理 SELinux，建议阅读有关 SELinux 的官方文档、教程和实践指南。随着时间的推移和实践的积累，你将更好地理解 SELinux 的工作原理，并能够充分利用其提供的安全功能。

7.配置SELINUX

在大多数情况下，你需要修改 /etc/selinux/config 文件来修改 SELinux 的配置。/etc/sysconfig/selinux 通常是一个符号链接，指向 /etc/selinux/config。这意味着修改 /etc/selinux/config 文件实际上也会影响到 /etc/sysconfig/selinux 文件。

要修改 SELinux 配置，请使用文本编辑器（如 vim、nano 或其他编辑器）打开 /etc/selinux/config 文件，并根据需要进行编辑。例如，你可以修改以下配置：

2.SELINUX：设置 SELinux 的模式。可用选项有：(可以用sestatus查看selinux的状态)

• enforcing：在此模式下，SELinux 会强制实施安全策略。
• permissive：在此模式下，SELinux 不会阻止任何操作，但会记录所有违反安全策略的行为。
• disabled：此模式会完全禁用 SELinux。

2.SELINUXTYPE：设置 SELinux 策略类型。常见的策略类型有：

• targeted：此策略仅对特定的目标服务进行保护，其他服务运行在无限制的域中。
• strict：此策略对所有服务和进程进行保护。

#设置 SELinux 模式：要更改 SELinux 的运行模式，请编辑 /etc/selinux/config 文件。将 SELINUX 行设置为 enforcing（强制实施）、permissive（宽容）或 disabled（禁用）之一。重启系统以使策略更改生效。
[root@Cenos8 data]#vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted
[root@Cenos8 data]#

#配置安全策略：选择一个适合你系统的安全策略。默认情况下，大多数 Linux 发行版使用 targeted 策略。如有需要，你可以将 SELINUXTYPE 设置为 strict 或其他自定义策略。重启系统以使策略更改生效。
SELINUXTYPE=targeted

#管理安全上下文：在 SELinux 中，安全上下文用于标识主体（用户、进程）和客体（文件、目录、设备）。使用 ls -Z 命令查看文件或目录的安全上下文。如果需要更改上下文，请使用 chcon 或 semanage 命令。例如，要将文件 /var/www/html/index.html 的上下文更改为 httpd_sys_content_t，请运行：
[root@Cenos8 data]#sudo chcon -t httpd_sys_content_t /var/www/html/index.html

#或者，使用 semanage 命令（需要安装 policycoreutils-python-utils 包）：
[root@Cenos8 data]#sudo semanage fcontext -a -t httpd_sys_content_t "/var/www/html/index.html"
[root@Cenos8 data]#sudo restorecon -v /var/www/html/index.html

#配置端口标签：SELinux 可以限制进程在特定端口上的网络访问。要允许服务在非标准端口上运行，请使用 semanage 命令添加新的端口映射。例如，要允许 HTTP 服务在端口 8080 上运行，请运行：
[root@Cenos8 data]#sudo semanage port -a -t http_port_t -p tcp 8080

#自定义策略模块：有时，你可能需要创建自定义策略模块以允许特定的访问。首先，使用 audit2allow 从 SELinux 日志中生成策略模块。然后，使用 semodule 命令将模块添加到 SELinux 系统。例如：
[root@Cenos8 data]#sudo grep myapp_t /var/log/audit/audit.log | audit2allow -M myapp
[root@Cenos8 data]#sudo semodule -i myapp.pp

#禁用 SELinux 对特定服务的保护：要禁用 SELinux 对特定服务的保护，可以将服务运行在无限制的域中。使用 semanage 命令将服务添加到 permissive 域：
[root@Cenos8 data]#sudo semanage permissive -a myapp_t