初学者指南：Selinux原理与基本配置

# 1. Selinux基础概念

## 1.1 什么是Selinux

Selinux是一种安全增强型的Linux安全模块，其主要作用是强化系统的访问控制机制，以减少系统受到的攻击和威胁。Selinux通过强制访问控制（MAC）来控制各个进程对系统资源的访问，提高系统整体的安全性。

## 1.2 Selinux的工作原理

Selinux的工作原理主要是基于对系统资源（文件、进程、网络端口等）的安全上下文进行管理和控制。每个资源都有其对应的安全上下文，Selinux通过策略文件定义了不同安全上下文之间的权限和访问规则，从而实现对系统资源的细粒度控制。

## 1.3 Selinux与传统权限管理的区别

传统的Linux权限管理主要以用户身份和文件属性来进行访问控制，而Selinux则引入了安全上下文的概念，同时增加了进程安全标签的管理。相比于传统权限管理，Selinux能够更加细致地控制系统资源的访问权限，提高系统整体的安全性和可靠性。

# 2. Selinux基本配置

### 2.1 查看系统中Selinux的状态

可以使用以下命令来查看系统中Selinux的状态：

sestatus

运行上述命令后，会输出Selinux的当前状态信息，包括是否启用、模式和默认策略等。

如果输出结果中`SELinux status`显示为`enabled`，表示Selinux已启用；如果显示为`disabled`，表示Selinux未启用。

### 2.2 修改Selinux的状态

要修改Selinux的状态，可以在配置文件中进行设置。使用以下命令编辑配置文件：

vi /etc/selinux/config

在配置文件中，可以看到一行类似于`SELINUX=enforcing`的设置。根据需要，可以将其修改为以下三个值之一：

- `enforcing`：强制Selinux策略，禁止访问未授权的资源。
- `permissive`：Selinux不禁止访问未授权的资源，但会生成告警日志。
- `disabled`：完全禁用Selinux。

修改完配置文件后，保存并退出。然后重启系统生效。

### 2.3 Selinux策略与布尔值

Selinux的策略由一组布尔值（Booleans）决定，它们控制着不同类型的访问权限。可以使用以下命令来列出系统中的所有布尔值：

getsebool -a

要修改某个布尔值的状态，可以使用以下命令：

setsebool <boolean_name> <value>

其中`<boolean_name>`是要修改的布尔值名称，`<value>`可以是`on`表示启用，或者`off`表示禁用。

需要注意的是，修改布尔值的状态通常只在当前会话中生效。如果想要永久修改，可以使用`-P`参数：

setsebool -P <boolean_name> <value>

这将把修改后的状态持久化保存，系统下次启动时仍然有效。

以上是Selinux基本配置的内容，下一章将介绍Selinux的安全策略。

# 3. Selinux安全策略

在本章中，我们将介绍Selinux安全策略的基本原理和常用功能。具体而言，我们将讨论Selinux安全上下文、文件和目录标签以及进程标签管理。

## 3.1 Selinux安全上下文

Selinux使用安全上下文来标识系统中的资源。安全上下文由三个部分组成：用户、角色和类型。其中，用户表示资源的拥有者，角色表示资源的角色，类型表示资源所属的类型。

通过安全上下文，Selinux可以对资源进行细粒度的访问控制。例如，只允许某个角色的用户访问某个类型的文件，其他用户将无法操作该文件。

在Linux系统中，使用`ls -Z`命令可以显示文件和目录的安全上下文。

$ ls -Z /var/www/html/index.html
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/index.html

在上面的例子中，`unconfined_u:object_r:httpd_sys_content_t:s0`就是`/var/www/html/index.html`的安全上下文。其中，`unconfined_u`表示拥有者为unconfined用户，`object_r`表示角色为object_r，`httpd_sys_content_t`表示类型为httpd_sys_content_t，`s0`表示级别为0。

## 3.2 文件和目录标签

Selinux使用文件和目录标签来定义文件和目录的访问规则。标签通常以`_t`结尾。

在Selinux的策略文件中，可以使用`type`关键字为文件和目录指定标签。例如，下面的策略文件片段将/var/www/html目录的标签设置为httpd_sys_content_t。

allow httpd_sys_content_t httpd_sys_content_t:dir {