Selinux可以幫助您保護服務器免受故障流程或應用程序的侵害。由NSA（國家安全局）開發(fā)的，旨在保護政府設備免受攻擊者的保護，安全性（SE）Linux體系結構使用安全協(xié)議來限制對系統(tǒng)資源的訪問。找出如何將其用於服務器。

目錄

• Selinux架構
• 如何安裝或啟用Selinux
• 如何配置Selinux
• Selinux政策
• 如何處理selinux錯誤
• 如何禁用Selinux
• 常見問題

另請閱讀：什麼是RC Shell以及如何在Linux中安裝它

Selinux架構

Selinux是一個內核模塊，可以由系統(tǒng)管理員啟用或禁用。由於安全策略之後，對文件和網絡端口的訪問受到限制，因此有錯誤的程序或錯誤配置的守護程序不會對系統(tǒng)安全產生巨大影響。

當應用程序或進程請求Selinux系統(tǒng)中的文件訪問時，它首先檢查訪問向量緩存（AVC）。如果以前已緩存權限，則將其返回使用所請求的申請的文件。如果未緩存權限，則將請求發(fā)送到安全服務器。安全服務器檢查其數(shù)據(jù)庫中的所有安全策略。根據(jù)安全策略，授予或拒絕許可。

Selinux中沒有根或超級用戶的概念。沒有SE Linux的未修改Linux分佈的安全性取決於內核正確性，所有特權應用程序及其配置。這些組件中的任何一個中的故障或錯誤都可以創(chuàng)建攻擊表面並損害系統(tǒng)。

另一方面，具有SELINUX的修改後的Linux系統(tǒng)主要取決於內核和安全策略的正確性。

另請閱讀：如何在Linux中使用RM命令

如何安裝或啟用Selinux

Selinux代表安全增強Linux。 Selinux自2003年以來一直是Linux內核的一部分。因此，您不必單獨安裝它。但是，在大多數(shù)桌面Linux發(fā)行版中，默認情況下是禁用的。

Selinux具有三種主要模式：執(zhí)行，寬容和禁用。讓我們簡要討論它們：

1. 強制執(zhí)行：這可以使用安全策略激活並保護Linux系統(tǒng)。
2. 寬容：它不會執(zhí)行安全策略，而是記錄所有內容。此模式對於故障排除目的很有用。
3. 禁用：它停用了Selinux。不建議使用此選項，如果您可以重新啟用系統(tǒng)中的SELINUX，則由於標籤變化而導致錯誤。

注意：Ubuntu是用Selinux的替代品Apparmor運送的。雖然Selinux在Ubuntu上可用，但它與Apparmor不兼容，如果啟用了您的系統(tǒng)。如果您確實需要在Ubuntu中使用SELINUX，請確保您禁用Apparmor並進行密集測試（首先從允許模式開始），然後再將其用於生產使用。

1. 要激活系統(tǒng)中的Selinux，您必須編輯“/etc/selinux/config”文件。在文本編輯器中打開此文件。

 sudo nano/etc/selinux/config

2. 在配置文件中，設置selinux =允許。按Ctrl o並按ENTER保存文件，然後按CTRL X退出編輯器。 Selinux現(xiàn)在在您的系統(tǒng)中被激活。

注意：如果您在允許之前嘗試直接執(zhí)行Selinux，則可能會誤貼文件和流程並防止您啟動。

3. 要自動重新標記文件系統(tǒng)，請在root Filesystem中製作一個稱為“ .AutorAlabel”的文件?，F(xiàn)在，當您啟動系統(tǒng)時，Selinux將自動重新標記您的文件系統(tǒng)。要減少錯誤，請保留SELINUX =允許選項，就像在配置文件夾中一樣。在所有內容進行重新標記後，將SELINUX設置為Selinux =在“/etc/selinux/config”中執(zhí)行，然後重新啟動。

Selinux將在您的系統(tǒng)中成功執(zhí)行。

另請閱讀：如何使用Starship自定義Linux終端提示

如何配置Selinux

SELINUX是一種構建結構，允許系統(tǒng)管理員控制可以訪問系統(tǒng)資源的內容。 Selinux通過使用安全策略限制對系統(tǒng)的訪問。有很多方法可以配置SELINUX來保護您的系統(tǒng)，最受歡迎的是“目標策略”和“多級安全”（MLS）。

有針對性的策略是默認安全策略。它涵蓋了一系列安全策略，例如文件訪問，任務，服務等。多級安全性（MLS）通常由政府和大型組織使用，非常複雜，需要專門的團隊來管理它。

您可以使用命令GetenForce和Sestatus檢查當前的Selinux模式。

如果您只需要在當前會話中更改SELINUX模式，則可以運行以下兩個命令。

• Sudo SetenForce 0：將SELINUX設置為當前會話的寬鬆模式。
• Sudo SetenForce 1：將SELINUX設置為當前會話的執(zhí)行模式。

Selinux政策

Selinux充當標籤系統(tǒng)。它將每個文件，端口和進程與標籤關聯(lián)。標籤是將事物分組在一起的邏輯方式。內核負責在引導過程中管理標籤。

Selinux政策可以由布爾人管理。例如，讓我們將布爾值設置為一個名為HTTPD的守護程序。 HTTPD是一種Apache HTTP服務器守護程序，我們用來在Linux中運行Web服務器。

要列出特定於HTTPD的所有模塊，請在終端中運行以下命令：

 getSebool -a | Grep httpd

在這裡，-A選項列出了所有布爾值，我們使用GREP過濾出與HTTPD相關的布爾值。閱讀本文以了解有關Linux中GREP的更多信息。

上面命令的輸出看起來像下圖。

 httpd_builtin腳本 - ><br> httpd_can_check_spam->關閉<br>httpd可以連接ftp->關閉<br>httpd_can_connect_ldap->關閉<br>httpd_can_connect_mythty->關閉<br>httpd_can_connect_zabbix->關閉<br>httpd_can_network_connect-> off httpd_can_network_connect_cobbler-> off httpd_can_network_connect_db-> OFF<br> httpd_can_network_memcache->關閉<br>httpd_can_network_relay->關閉<br>httpd_can_sendmail->關閉<br>httpd_dbus_avahi->關閉<br>httpd dbus sssd->關閉

從上面的列表中，我們採用httpd_can_connect_ftp boolean並更改其值。首先，讀取httpd_can_connect_ftp的值，無論是打開還是關閉：

 getSebool httpd_can_connect_ftp

讓我們設置httpd_can_connect_ftp的值。

 setSebool -p httpd_can_connect_ftp 1

在這裡，1表示允許或繼續(xù)。 -p標籤用於使更改永久。如果您再次列出了與HTTPD相關的布爾值，那麼我們可以看到httpd_can_connect_ftp值的更改為ON。

 httpd_builtin_scripting-> on<br> httpd_can_check_spam->關閉<br>httpd可以連接ftp-> on<br> httpd_can_connect_ldap->關閉<br>httpd_can_connect_mythty->關閉<br>httpd_can_connect_zabbix->關閉<br>httpd_can_network_connect-> off httpd_can_network_connect_cobbler-> off httpd_can_network_connect_db-> OFF<br> httpd_can_network_memcache->關閉<br>httpd_can_network_relay->關閉<br>httpd_can_sendmail->關閉<br>httpd_dbus_avahi->關閉<br>httpd dbus sssd->關閉

另請閱讀：如何在Ubuntu中使用Docker設置WordPress

如何處理selinux錯誤

Selinux通常有4種類型的錯誤：

1. 系統(tǒng)已被打破：Selinux通過限制訪問來保護您的系統(tǒng)，有時這還不夠。如果您遇到這些錯誤，那麼您的系統(tǒng)可能會受到損害。盡可能快地採取必要的措施。
2. 策略中的錯誤：如果需要修復策略中的錯誤，則會出現(xiàn)此錯誤。
3. 標籤是錯誤的：此錯誤消息在用戶自定義標籤或Selinux自動標籤時出現(xiàn)此錯誤消息。市場上有許多工具來解決這些標籤錯誤。
4. 需要修復策略：當您對系統(tǒng)進行一些更改並且不告知Selinux時，這些錯誤就起源於此。您可以使用布爾或策略模塊來解決此錯誤。

如何禁用Selinux

對於企業(yè)和政府服務器和麵向公共的設備而言，禁用Selinux絕不是非常容易攻擊的設備。但是，如果您想在系統(tǒng)中禁用Selinux，請按照以下說明進行操作。

1. 轉到“/etc/selinux”中的SE Linux配置文件，然後將SE Linux配置模式從執(zhí)行更改為允許，然後重新啟動系統(tǒng)。
2. 將SELINUX模式從允許變?yōu)榻谩?/li>

下一次重新啟動後，系統(tǒng)中的Selinux被禁用並成為普通的Linux機器。

另請閱讀：如何在Linux中設置防火牆

常見問題

以上是如何使用Selinux保護Linux服務器 - 使技術更容易的詳細內容。更多資訊請關注PHP中文網其他相關文章！