Linux系统中SElinux的管理

基本 SElinux 安全性概念

SElinux(Security-Enhanced Linux)内核级加强型防火墙

SElinux是强制访问控制(MAC)安全系统，是linux历史上最杰出的新安全系统。对于linux安全模块来说，SElinux的功能是最全面的，测试也是最充分的，这是一种基于内核的安全系统。
SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制。在某种程度上，它可以被看作是与标准权限系统并行的权限系统。在常规模式中，以用户身份运行进程， 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权SElinux的另一个不同之处在于，若要访问文件，你必须具有普通访问权限和 SElinux访问权限。因此，即使以超级用户身份root 运行进程，根据进程以及文件或资源的 SELinux 安全性上下文可能拒绝访问文件或资源 ) 标签。

在无SElinux 保护时，恶意人员可以尝试利用 web 服务器中的安全漏洞强行进入系统。如果成功，将会控制以用户 apache 身份运行的进程，这时再由一个本地安全漏洞就可能使攻击者获得超级用户的访问权限。

SElinux三个模式

(1). Enforcing 强制(强制模式)— SELinux 策略强制执行，基于 SELinux 策略规则授予或拒绝主体对目标的访问

(2). Permissive 宽容(警告模式)— SELinux 策略不强制执行，不实际拒绝访问，但会有拒绝信息写入日志

(3). Disabled 禁用(关闭模式)— 完全禁用SELinux

管理SElinux级别

有两种方式可以修改SElinux的级别，分别如下：
(1). 临时修改方式

可以用下面命令查看当前的SElinux状态：

getenforce

可以用下面的命令临时修改SElinux的级别：

setenforce 0/1

当SElinux开启时， "setenforce"可以设