Selinux可以幫助您保護(hù)服務(wù)器免受故障流程或應(yīng)用程序的侵害。由NSA（國(guó)家安全局）開(kāi)發(fā)的，旨在保護(hù)政府設(shè)備免受攻擊者的保護(hù)，安全性（SE）Linux體系結(jié)構(gòu)使用安全協(xié)議來(lái)限制對(duì)系統(tǒng)資源的訪問(wèn)。找出如何將其用于服務(wù)器。

目錄

• Selinux架構(gòu)
• 如何安裝或啟用Selinux
• 如何配置Selinux
• Selinux政策
• 如何處理selinux錯(cuò)誤
• 如何禁用Selinux
• 常見(jiàn)問(wèn)題

另請(qǐng)閱讀：什么是RC Shell以及如何在Linux中安裝它

Selinux架構(gòu)

Selinux是一個(gè)內(nèi)核模塊，可以由系統(tǒng)管理員啟用或禁用。由于安全策略之后，對(duì)文件和網(wǎng)絡(luò)端口的訪問(wèn)受到限制，因此有錯(cuò)誤的程序或錯(cuò)誤配置的守護(hù)程序不會(huì)對(duì)系統(tǒng)安全產(chǎn)生巨大影響。

當(dāng)應(yīng)用程序或進(jìn)程請(qǐng)求Selinux系統(tǒng)中的文件訪問(wèn)時(shí)，它首先檢查訪問(wèn)向量緩存（AVC）。如果以前已緩存權(quán)限，則將其返回使用所請(qǐng)求的申請(qǐng)的文件。如果未緩存權(quán)限，則將請(qǐng)求發(fā)送到安全服務(wù)器。安全服務(wù)器檢查其數(shù)據(jù)庫(kù)中的所有安全策略。根據(jù)安全策略，授予或拒絕許可。

Selinux中沒(méi)有根或超級(jí)用戶(hù)的概念。沒(méi)有SE Linux的未修改Linux分布的安全性取決于內(nèi)核正確性，所有特權(quán)應(yīng)用程序及其配置。這些組件中的任何一個(gè)中的故障或錯(cuò)誤都可以創(chuàng)建攻擊表面并損害系統(tǒng)。

另一方面，具有SELINUX的修改后的Linux系統(tǒng)主要取決于內(nèi)核和安全策略的正確性。

另請(qǐng)閱讀：如何在Linux中使用RM命令

如何安裝或啟用Selinux

Selinux代表安全增強(qiáng)Linux。 Selinux自2003年以來(lái)一直是Linux內(nèi)核的一部分。因此，您不必單獨(dú)安裝它。但是，在大多數(shù)桌面Linux發(fā)行版中，默認(rèn)情況下是禁用的。

Selinux具有三種主要模式：執(zhí)行，寬容和禁用。讓我們簡(jiǎn)要討論它們：

1. 強(qiáng)制執(zhí)行：這可以使用安全策略激活并保護(hù)Linux系統(tǒng)。
2. 寬容：它不會(huì)執(zhí)行安全策略，而是記錄所有內(nèi)容。此模式對(duì)于故障排除目的很有用。
3. 禁用：它停用了Selinux。不建議使用此選項(xiàng)，如果您可以重新啟用系統(tǒng)中的SELINUX，則由于標(biāo)簽變化而導(dǎo)致錯(cuò)誤。

注意：Ubuntu是用Selinux的替代品Apparmor運(yùn)送的。雖然Selinux在Ubuntu上可用，但它與Apparmor不兼容，如果啟用了您的系統(tǒng)。如果您確實(shí)需要在Ubuntu中使用SELINUX，請(qǐng)確保您禁用Apparmor并進(jìn)行密集測(cè)試（首先從允許模式開(kāi)始），然后再將其用于生產(chǎn)使用。

1. 要激活系統(tǒng)中的Selinux，您必須編輯“/etc/selinux/config”文件。在文本編輯器中打開(kāi)此文件。

 sudo nano/etc/selinux/config

2. 在配置文件中，設(shè)置selinux =允許。按Ctrl o并按ENTER保存文件，然后按CTRL X退出編輯器。 Selinux現(xiàn)在在您的系統(tǒng)中被激活。

注意：如果您在允許之前嘗試直接執(zhí)行Selinux，則可能會(huì)誤貼文件和流程并防止您啟動(dòng)。

3. 要自動(dòng)重新標(biāo)記文件系統(tǒng)，請(qǐng)?jiān)趓oot Filesystem中制作一個(gè)稱(chēng)為“ .AutorAlabel”的文件。現(xiàn)在，當(dāng)您啟動(dòng)系統(tǒng)時(shí)，Selinux將自動(dòng)重新標(biāo)記您的文件系統(tǒng)。要減少錯(cuò)誤，請(qǐng)保留SELINUX =允許選項(xiàng)，就像在配置文件夾中一樣。在所有內(nèi)容進(jìn)行重新標(biāo)記后，將SELINUX設(shè)置為Selinux =在“/etc/selinux/config”中執(zhí)行，然后重新啟動(dòng)。

Selinux將在您的系統(tǒng)中成功執(zhí)行。

另請(qǐng)閱讀：如何使用Starship自定義Linux終端提示

如何配置Selinux

SELINUX是一種構(gòu)建結(jié)構(gòu)，允許系統(tǒng)管理員控制可以訪問(wèn)系統(tǒng)資源的內(nèi)容。 Selinux通過(guò)使用安全策略限制對(duì)系統(tǒng)的訪問(wèn)。有很多方法可以配置SELINUX來(lái)保護(hù)您的系統(tǒng)，最受歡迎的是“目標(biāo)策略”和“多級(jí)安全”（MLS）。

有針對(duì)性的策略是默認(rèn)安全策略。它涵蓋了一系列安全策略，例如文件訪問(wèn)，任務(wù)，服務(wù)等。多級(jí)安全性（MLS）通常由政府和大型組織使用，非常復(fù)雜，需要專(zhuān)門(mén)的團(tuán)隊(duì)來(lái)管理它。

您可以使用命令GetenForce和Sestatus檢查當(dāng)前的Selinux模式。

如果您只需要在當(dāng)前會(huì)話(huà)中更改SELINUX模式，則可以運(yùn)行以下兩個(gè)命令。

• Sudo SetenForce 0：將SELINUX設(shè)置為當(dāng)前會(huì)話(huà)的寬松模式。
• Sudo SetenForce 1：將SELINUX設(shè)置為當(dāng)前會(huì)話(huà)的執(zhí)行模式。

Selinux政策

Selinux充當(dāng)標(biāo)簽系統(tǒng)。它將每個(gè)文件，端口和進(jìn)程與標(biāo)簽關(guān)聯(lián)。標(biāo)簽是將事物分組在一起的邏輯方式。內(nèi)核負(fù)責(zé)在引導(dǎo)過(guò)程中管理標(biāo)簽。

Selinux政策可以由布爾人管理。例如，讓我們將布爾值設(shè)置為一個(gè)名為HTTPD的守護(hù)程序。 HTTPD是一種Apache HTTP服務(wù)器守護(hù)程序，我們用來(lái)在Linux中運(yùn)行Web服務(wù)器。

要列出特定于HTTPD的所有模塊，請(qǐng)?jiān)诮K端中運(yùn)行以下命令：

 getSebool -a | Grep httpd

在這里，-A選項(xiàng)列出了所有布爾值，我們使用GREP過(guò)濾出與HTTPD相關(guān)的布爾值。閱讀本文以了解有關(guān)Linux中GREP的更多信息。

上面命令的輸出看起來(lái)像下圖。

 httpd_builtin腳本 - ><br> httpd_can_check_spam->關(guān)閉<br>httpd可以連接ftp->關(guān)閉<br>httpd_can_connect_ldap->關(guān)閉<br>httpd_can_connect_mythty->關(guān)閉<br>httpd_can_connect_zabbix->關(guān)閉<br>httpd_can_network_connect-> off httpd_can_network_connect_cobbler-> off httpd_can_network_connect_db-> OFF<br> httpd_can_network_memcache->關(guān)閉<br>httpd_can_network_relay->關(guān)閉<br>httpd_can_sendmail->關(guān)閉<br>httpd_dbus_avahi->關(guān)閉<br>httpd dbus sssd->關(guān)閉

從上面的列表中，我們采用httpd_can_connect_ftp boolean并更改其值。首先，讀取httpd_can_connect_ftp的值，無(wú)論是打開(kāi)還是關(guān)閉：

 getSebool httpd_can_connect_ftp

讓我們?cè)O(shè)置httpd_can_connect_ftp的值。

 setSebool -p httpd_can_connect_ftp 1

在這里，1表示允許或繼續(xù)。 -p標(biāo)簽用于使更改永久。如果您再次列出了與HTTPD相關(guān)的布爾值，那么我們可以看到httpd_can_connect_ftp值的更改為ON。

 httpd_builtin_scripting-> on<br> httpd_can_check_spam->關(guān)閉<br>httpd可以連接ftp-> on<br> httpd_can_connect_ldap->關(guān)閉<br>httpd_can_connect_mythty->關(guān)閉<br>httpd_can_connect_zabbix->關(guān)閉<br>httpd_can_network_connect-> off httpd_can_network_connect_cobbler-> off httpd_can_network_connect_db-> OFF<br> httpd_can_network_memcache->關(guān)閉<br>httpd_can_network_relay->關(guān)閉<br>httpd_can_sendmail->關(guān)閉<br>httpd_dbus_avahi->關(guān)閉<br>httpd dbus sssd->關(guān)閉

另請(qǐng)閱讀：如何在Ubuntu中使用Docker設(shè)置WordPress

如何處理selinux錯(cuò)誤

Selinux通常有4種類(lèi)型的錯(cuò)誤：

1. 系統(tǒng)已被打破：Selinux通過(guò)限制訪問(wèn)來(lái)保護(hù)您的系統(tǒng)，有時(shí)這還不夠。如果您遇到這些錯(cuò)誤，那么您的系統(tǒng)可能會(huì)受到損害。盡可能快地采取必要的措施。
2. 策略中的錯(cuò)誤：如果需要修復(fù)策略中的錯(cuò)誤，則會(huì)出現(xiàn)此錯(cuò)誤。
3. 標(biāo)簽是錯(cuò)誤的：此錯(cuò)誤消息在用戶(hù)自定義標(biāo)簽或Selinux自動(dòng)標(biāo)簽時(shí)出現(xiàn)此錯(cuò)誤消息。市場(chǎng)上有許多工具來(lái)解決這些標(biāo)簽錯(cuò)誤。
4. 需要修復(fù)策略：當(dāng)您對(duì)系統(tǒng)進(jìn)行一些更改并且不告知Selinux時(shí)，這些錯(cuò)誤就起源于此。您可以使用布爾或策略模塊來(lái)解決此錯(cuò)誤。

如何禁用Selinux

對(duì)于企業(yè)和政府服務(wù)器和面向公共的設(shè)備而言，禁用Selinux絕不是非常容易攻擊的設(shè)備。但是，如果您想在系統(tǒng)中禁用Selinux，請(qǐng)按照以下說(shuō)明進(jìn)行操作。

1. 轉(zhuǎn)到“/etc/selinux”中的SE Linux配置文件，然后將SE Linux配置模式從執(zhí)行更改為允許，然后重新啟動(dòng)系統(tǒng)。
2. 將SELINUX模式從允許變?yōu)榻谩?/li>

下一次重新啟動(dòng)后，系統(tǒng)中的Selinux被禁用并成為普通的Linux機(jī)器。

另請(qǐng)閱讀：如何在Linux中設(shè)置防火墻

常見(jiàn)問(wèn)題

以上是如何使用Selinux保護(hù)Linux服務(wù)器 - 使技術(shù)更容易的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！