什么是 SELinux（安全增强型 Linux）？

安全增强型 Linux（SELinux）是一种针对 Linux® 系统设计的安全架构，它能够让管理员更好地控制哪些人可以访问系统。它最初由美国国家安全局（NSA）开发，并利用 Linux 安全模块（LSM）以补丁集的形式整合到 Linux 内核中。

SELinux 于 2000 年发布到开源社区，并于 2003 年集成到上游 Linux 内核中。

SELinux 用于定义对系统上应用、进程和文件的访问控制。它利用安全策略（一组规则，用于告知 SELinux 哪些内容可以访问或哪些内容不可以访问）来强制执行策略所允许的访问。

当应用或进程（称为主体）发出访问某个对象（如文件）的请求时，SELinux 会检查访问向量缓存（AVC），其中缓存了主体和对象的访问权限。

如果 SELinux 无法根据缓存的权限来判断是否允许访问，它会将请求发送给安全服务器。安全服务器随即检查应用或进程和文件的安全环境，确认其是否匹配 SELinux 策略数据库的安全环境。然后，根据检查结果授予或拒绝授予权限。

如果拒绝授予权限，/var/log.messages 中将会显示“avc: denied”消息。

您的云安全性如何？进行评估

如何配置 SELinux

您可以通过多种方式来配置 SELinux，以保护系统。最常见的是目标策略或多级安全防护（MLS）。

目标策略为默认选项，它涵盖了多种进程、任务和服务。MLS 则极为复杂，通常只有政府机构才会使用。

您可以查看 /etc/sysconfig/selinux 文件，以判断系统所采用的配置方式。该文件中有一部分会显示 SELinux 是处于允许模式、强制执行模式还是禁用状态，以及要加载哪个策略。

SELinux 标签和类型强制访问控制

类型强制访问控制和标签是 SELinux 中最为重要的两个概念。

SELinux 可作为标签系统运行，也就是说，系统中的所有文件、进程和端口都具有与之关联的 SELinux 标签。标签可以按照逻辑将目标组合分类。在启动过程中，内核负责管理标签。

标签的格式为 user:role:type:level（level 为可选项）。User、role 和 level 用于类似 MLS 的更高级的 SELinux 实施中。标签类型对于目标策略而言最为重要。

SELinux 利用类型强制访问控制来强制执行系统中定义的策略。类型强制访问控制是 SELinux 策略的一部分，它定义了特定类型的进程能否访问标记为特定类型的文件。

启用 SELinux

如果您的环境中禁用了 SELinux，可以通过编辑 /etc/selinux/config 并设置 SELINUX=permissive 来启用 SElinux。由于 SELinux 当前尚未启用，因此最好不要将其设为立即强制执行，因为此时系统可能会出现误标记的事件，这会导致系统无法正常启动。

您可以在根目录中创建名为 .autorelabel 的空文件，然后重新启动，以此来强制系统自动重新标记文件系统。如果系统中错误过多，应在允许模式下重新启动，以确保启动成功。重新标记所有内容后，利用 /etc/selinux/config 将 SELinux 设置为强制执行模式并重新启动，或运行 setenforce 1。

如果系统管理员不太熟悉命令行，还可以选择用于管理 SELinux 的图形工具。

SELinux 为 Linux 发行版中内置的系统提供了一层额外的安全保护。SELinux 应始终保持开启状态，这样它就能在系统遭到破坏时保护系统。

探索红帽® 企业 Linux 如何帮助您提高安全性

传统上，Linux 和 UNIX 系统都采用 DAC。SELinux 就是 Linux 采用 MAC 系统的一个示例。

对于 DAC 而言，文件和进程都有相应的所有者。您可以将文件所有权分配给某个用户、某个群组，或者其他任何用户。用户可以更改自己文件的权限。

根用户对 DAC 系统拥有完全的访问控制权限。如果您拥有根访问权限，则可以访问其他任何用户的文件，或在系统上执行任何操作。

但在像 SELinux 这样的 MAC 系统上，访问权限是根据管理员设置的策略来控制的。即使主目录上的 DAC 设置发生更改，SELinux 策略也会阻止其他用户或进程访问目录，从而保证系统的安全。

借助 SELinux 策略，您可以实现精确的控制，并覆盖大量的进程。您可以使用 SELinux 来限制用户、文件、目录等之间的访问。

了解如何利用现代工具和技术管理 Linux 环境

如果在 SELinux 中遇到错误，则表明存在需要解决的问题。问题很可能出自以下四个常见原因之一：

1. 标签错误。如果标签不正确，您可以使用工具来修复标签。
2. 策略需要修复。这可能意味着您需要将所做的更改告知 SELinux，或者您可能需要调整某个策略。您可以利用布尔值或策略模块对其进行修复。
3. 策略中存在错误。这可能是策略中存在需要修正的错误。
4. 系统已损坏。尽管 SELinux 在很多情况下可以保护您的系统，但系统仍存在受损的可能。如果您怀疑是这种情况，请立即采取相应措施。

什么是布尔值？

布尔值是 SELinux 中用于控制功能的开关设置。开/关 SELinux 功能的设置有数百种，而且许多设置已预定义。您可以运行 getsebool -a 来找出系统中已设置的布尔值。

红帽企业 Linux 是世界领先的开源 Linux 平台，能够帮助您降低风险、实施安全配置和安全策略，并精简合规策略。

红帽企业 Linux 系统角色是一系列受支持的 Ansible® 角色，可以确保一致的工作流，并且精简手动任务的执行。借助系统角色，团队可以实现安全工作流自动化，还能随着时间的推移，以最少的资源实现大规模维护，同时简化治理和合规性要求。通过 SELinux 系统角色，您可以实现 SELinux 部署和管理自动化。这包括：

• 启用 SELinux 并将其设置为强制执行或允许模式以确保控制的一致性。
• 根据自身需求，通过自定义 SELinux 策略来调整布尔值、文件上下文、端口以及登录设置。
• 利用系统角色协调指定文件或目录的文件上下文。

了解有关红帽企业 Linux 系统角色的更多信息