10-2 SELinux安全子系统

SELinux(Security-Enhanced Linux)是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制的安全子系统。目的是为了让各个服务进程都受到约束，使其仅获取到本应获取的资源，不能越界。
它能够从多方面监控违法行为：对服务程序的功能进行限制（SELinux域限制可以确保服务程序做不了出格的事情）；对文件资源的访问限制（SELinux安全上下文确保文件资源只能被其所属的服务程序进行访问）。这样SELinux域和SELinux上下文变成Linux系统中的双保险，系统内的服务程序只能规规矩矩地拿到自己所应该获取的资源，不能越权操作。

SELinux服务有三种配置模式，具体如下：

1. enforcing：强制启用安全策略模式，将拦截服务的不合法请求。一般默认为强制启用
2. permissive：遇到服务越权访问时，只发出警告而不强制拦截。
3. disabled：对于越权的行为不警告也不拦截。

1、查看配置文件
可以看到默认是强制开启的，若修改配置文件，新的配置会在重启后生效。

[root@redhat web-index]# vim /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

2、获取当前SELinux服务的运行模式-getenforce

[root@redhat web-index]# getenforce
Enforcing

3、临时修改SELinux运行模式-setenforce

##临时修改，重启后失效，1启用SELinux,0禁用SELinux
[root@redhat web-index]# setenforce 0

如果开启了SELinux，那要怎样才能修改成功httpd的数据目录呢？

1、开启SELinux，查看目录是否拥有不同的SELinux安全上下文值

[root@redhat web-index]# setenforce 1
[root@redhat web-index]# ls -Zd /var/www/html
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html
[root@redhat web-index]# ls -Zd /home/wwwroot
drwxr-xr-x. root root unconfined_u:object_r:home_root_t:s0 /home/wwwroot

在文件设置的SELinux安全上下文是由用户段（system_u代表系统进程的身份）、角色段（object_r 代表文件目录的角色）以及类型段（httpd_sys_content_t代表网站服务的系统文件）等多个信息项共同组成的。

2、使用管理SELinux的semanage命令，使新定义目录能被httpd服务程序访问
可使用-h查看帮助信息

## 往新的目录中新添加一条SELinux安全上下文，使这个目录以及里面所有的文件能够被httpd服务程序所访问
[root@redhat web-index]# semanage fcontext -a -t httpd_sys_content_t /home/wwwroot
[root@redhat web-index]# semanage fcontext -a -t httpd_sys_content_t /home/wwwroot/*
[root@redhat web-index]# 

3、查看127.0.0.1，发现还是不行，这是因为配置没有生效，需要使用restorecon 命令使上下文生效。

## -Rv参数对指定目录进行递归操作，以及显示SELinux安全上下文的修改过程。
[root@redhat web-index]# restorecon -Rv /home/wwwroot/
restorecon reset /home/wwwroot context unconfined_u:object_r:home_root_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0
restorecon reset /home/wwwroot/index.html context unconfined_u:object_r:home_root_t:s0->unconfined_u:object_r:httpd_sys_content_t:s0
[root@redhat web-index]# 

生效后再查看127.0.0.1,就可以看到生效了，即开启SELinux,也可以访问新的数据目录。
查看SELinux发现文件的SELinux发生了变更

[root@redhat web-index]# ls -Zd /var/www/html
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html
[root@redhat web-index]# ls -Zd /home/wwwroot
drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 /home/wwwroot
[root@redhat web-index]#