【Linux SELinux】提升系统安全（一）

本文重点：了解SELinux并能够熟练地启动关闭selinux（就像精通windows系统开关机一样）

背景：在centos5.x之后，selinux 非常完备地成为了系统内核模块，centos5.x之后提供了很多命令行管理selinux

简介：selinux 全称是 Security Enhanced Linux 即安全提升版linux，协助管理进程与文件间的访问权限

用户对文件的操作权限大家都了解 通过chown\chmod\chgrp这些命令来进行管理，这种被称作‘自主访问控制DAC’，但是进程和文件之间的访问权限呢，如果一个你启动了一个你不熟悉的进程或者shell，而这个进程或shell包含对其他文件(包括系统文件)的破坏性操作，就可就大事不妙了。

selinux通过管理进程与文件之间的对应关系将这类意料之外的事件避免了，使一个进程能访问的文件在一个小圈圈范围内。通过制定策略让特定程序访问特定文件，说白了就是建立程序和文件之间的可访关系表，策略分为targeted（主管网络）和strict（全面管理）,通常用targeted策略足以。除了策略和规则这俩术语，还有主体（程序）、目标（文件）、安全上下文。访问流程：主体(程序)-->SELinux（查找规则）-->安全上下文（AVC）-->rwx配置-->目标(文件）

查看当前selinux模式：getenforce

查看selinux所使用的策略信息：sestatus

配置文件：/etc/selinux/config

selinux 状态切换：从disabled到另外俩状态enforcing permissive，切换后重启机器生效。enforcing和permissive互换不需要重启。

setenforce 0转成permissive模式

setenforce 1转成enforce模式