SElinux

一、什么是SELinux？

SELinux全称是Security Enhanced Linux，由美国国家安全部(National Security Agency)领导开发的GPL项目，它拥有一个灵活而强制性的访问控制结构，旨在提高Linux系统的安全性，提供强健的安全保证，可防御未知攻击，据称相当于B1级的军事安全性能。比MS NT所谓的C2等高得多。应用SELinux后，可以减轻恶意攻击或恶意软件带来的灾难，并提供对机密性和完整性有很高要求的信息很高的安全保障。 SELinux vs Linux普通Linux安全和传统Unix系统一样，基于自主存取控制方法，即DAC，只要符合规定的权限，如规定的所有者和文件属性等，就可存取资源。在传统的安全机制下，一些通过setuid/setgid的程序就产生了严重安全隐患，甚至一些错误的配置就可引发巨大的漏洞，被轻易攻击。而 SELinux则基于强制存取控制方法，即MAC，透过强制性的安全策略，应用程序或用户必须同时符合DAC及对应SELinux的MAC才能进行正常操作，否则都将遭到拒绝或失败，而这些问题将不会影响其他正常运作的程序和应用，并保持它们的安全系统结构。SELinux on Redhat Linux在RHEL4.0或FC3以上的版本中，可以在安装时就选择是否激活SELinux，系统自动会安装相应的内核、工具、程序等。由于 SELinux的MAC机制将极大的影响了现有引用，因此RHEL4/FC3中已预配置了大量兼容现有应用的安全策略。SELinux的配置相关文件都在 /etc/selinux下，其中/etc/selinux/targeted目录里就包含了策略的详细配置和context定义，以下是主要文件及功用：/etc/selinux/targeted/contexts/*_context 默认的context设置/etc/selinux/targeted/contexts/files/* 精确的context类型划分/etc/selinux/targeted/policy/* 策略文件使用Redhat 默认的策略对正常应用带来的影响比较小，兼容性相对比较好。对于需要提供虚拟主机或大量应用的用户而言，则会带来不小的麻烦，需要仔细阅读SELinux 的手册进行调整。

二、关闭SELinux的方法：

　　修改/etc/selinux/config文件中的SELINUX="" 为 disabled ，然后重启。
　　如果不想重启系统，使用命令setenforce 0
注：
setenforce 1 设置SELinux 成为enforcing模式
setenforce 0 设置SELinux 成为permissive模式 
　　在lilo或者grub的启动参数中增加：selinux=0,也可以关闭selinux

三、查看selinux状态：

/usr/bin/setstatus -v 
如下：
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   permissive
Mode from config file:          enforcing
Policy version:                 21
Policy from config file:        targeted 
  
getenforce/setenforce查看和设置SELinux的当前工作模式。