selinux 什么

dreamever

在Redhat Enterprise Linux 4.0或Fedora Core 2 Linux以上版本的Linux中，有不少用戶經(jīng)常會遇到諸如apache的Permission denied，X windows打不開等等問題，拋開一些常規(guī)配置錯誤外，很大一部分原因是因為激活了SELinux的緣故。
什么是SELinux？SELinux全稱是Security Enhanced Linux，由美國國家安全部(National Security Agency)領導開發(fā)的GPL項目，它擁有一個靈活而強制性的訪問控制結構，旨在提高Linux系統(tǒng)的安全性，提供強健的安全保證，可防御未知攻擊，據(jù)稱相當于B1級的軍事安全性能。比MS NT所謂的C2等高得多。應用SELinux后，可以減輕惡意攻擊或惡意軟件帶來的災難，并提供對機密性和完整性有很高要求的信息很高的安全保障。SELinux vs Linux普通Linux安全和傳統(tǒng)Unix系統(tǒng)一樣，基于自主存取控制方法，即DAC，只要符合規(guī)定的權限，如規(guī)定的所有者和文件屬性等，就可存取資源。在傳統(tǒng)的安全機制下，一些通過setuid/setgid的程序就產(chǎn)生了嚴重安全隱患，甚至一些錯誤的配置就可引發(fā)巨大的漏洞，被輕易攻擊。而SELinux則基于強制存取控制方法，即MAC，透過強制性的安全策略，應用程序或用戶必須同時符合DAC及對應SELinux的MAC才能進行正常操作，否則都將遭到拒絕或失敗，而這些問題將不會影響其他正常運作的程序和應用，并保持它們的安全系統(tǒng)結構。SELinux on Redhat Linux在RHEL4.0或FC3以上的版本中，可以在安裝時就選擇是否激活SELinux，系統(tǒng)自動會安裝相應的內(nèi)核、工具、程序等。由于SELinux的MAC機制將極大的影響了現(xiàn)有引用，因此RHEL4/FC3中已預配置了大量兼容現(xiàn)有應用的安全策略。SELinux的配置相關文件都在/etc/selinux下，其中/etc/selinux/targeted目錄里就包含了策略的詳細配置和context定義，以下是主要文件及功用：/etc/selinux/targeted/contexts/*_context 默認的context設置/etc/selinux/targeted/contexts/files/* 精確的context類型劃分/etc/selinux/targeted/policy/* 策略文件使用Redhat 默認的策略對正常應用帶來的影響比較小，兼容性相對比較好。對于需要提供虛擬主機或大量應用的用戶而言，則會帶來不小的麻煩，需要仔細閱讀SELinux的手冊進行調整。其中Fedora Core 的官方網(wǎng)站上有相關的Apache/SELinux的策略調整文檔，建議web用戶仔細閱讀。激活SELinux的操作系統(tǒng)，需要對策略和模式進行變更時，一般不需要重啟動即可獲得變化，主要就是透過libselinux軟件包實現(xiàn)。 libselinux包含了對策略的控制/管理工具，其中getsebool/setsebool是讀取/設置SELinux 布爾值的工具，getenforce/setenforce則是設置強制性的工具。Why SELinux?毫無疑問：安全！如今Internet上病毒、攻擊層出不窮，信息安全受到了嚴重威脅，而普通Linux的安全性要做得很好并不容易，且沒有一個中央化的安全體系結構，因此使用SELinux可以使用強制的訪問控制來進行小顆粒度的權限控制，并提高系統(tǒng)的穩(wěn)定性，簡化了防系統(tǒng)崩潰的調整工作，達到信息保密和完整性的要求。SELinux主要的改進在于：# 對內(nèi)核對象和服務的訪問控制# 對進程初始化、繼承和程序執(zhí)行的訪問控制# 對文件系統(tǒng)、目錄、文件和打開文件描述的訪問控制# 對端口、信息和網(wǎng)絡接口的訪問控制。SELinux still difficult控制的東西越多使用起來就越容易復雜，SELinux也不例外，目前SELinux還在不斷完善中，管理和控制策略并不是一件輕松的事，需要豐富的系統(tǒng)知識和經(jīng)驗，并且必須仔細閱讀SELinux相關的文檔，做大量的嘗試。
關掉SELinux的正確方法為：
修改/etc/selinux/config文件中的SELINUX="" 為 disabled
然后重啟

本文來自ChinaUnix博客，如果查看原文請點：http://blog.chinaunix.net/u2/66732/showart_548560.html