SELinux管理与配置，靠着这份900多页的PDF面试整理

strict policy为sysadm_r，staff_r，user_r

用户的role，类似于系统中的GID，不同的角色具备不同的权限；用户可以具备多个role；但是同一时间内只能使用一role；

role是RBAC的基础；

3.type

type:用来将主体与客体划分为不同的组，组每个主体和系统中的客体定义了一个类型；为进程运行提供最低的权限环境。

当一个类型与执行的进程关联时，该type也称为domain，也叫安全上下文。

域或安全上下文是一个进程允许操作的列表，决字一个进程可以对哪种类型进行操作。

1.1.3 SElinux配置文件

vi/etc/selinux/config

# This filecontrols the state of SELinux on the system.

# SELINUX= cantake one of these three values:

# enforcing -SELinux security policy is enforced.

# permissive -SELinux prints warnings instead of enforcing.

# disabled -SELinux is fully disabled.

SELINUX=enforcing

#SELINUX=disabled

# SELINUXTYPE=type of policy in use. Possible values are:

# targeted -Only targeted network daemons are protected.

# strict -Full SELinux protection.

SELINUXTYPE=targeted

#SELINUX有「disabled」「permissive」，「enforcing」3种选择。

1.模式的设置

enforcing:强制模式，只要selinux不允许，就无法执行

permissive:警告模式，将该事件记录下来，依然允许执行

disabled:关闭selinux；停用，启用需要重启计算机。

2.策略的设置

targeted:保护常见的网络服务，是selinux的默认值；

stric:提供RBAC的policy，具备完整的保护功能，保护网络服务，一般指令及应用程序。

策略改变后，需要重新启动计算机。

也可以通过命令来修改相关的具体的策略值，也就是修改安全上下文，来提高策略的灵活性。

3．策略的位置

/etc/selinux/<策略名>/policy/

1.2 SElinux命令介绍

1.2.1 查询SElinux状态命令

1．查询selinux状态

[root@redhat~]# sestatus

SELinux status:                 enabled

SELinuxfsmount:                /selinux

Currentmode:                   enforcing

Mode fromconfig file:          enforcing

Policyversion:                 21

Policy fromconfig file:        targeted

2．查询selinux激活状态

[root@redhat~]# selinuxenabled

[root@redhat~]# echo $?

0

如果为-256为非激活状态。

1.2.2 切换SElinux类型

1．切换成警告模式

[root@redhat~]# setenforce 0或setenforce permissive

[root@redhat~]# sestatus

SELinuxstatus:                 enabled

SELinuxfsmount:                /selinux

Currentmode:                   permissive

Mode fromconfig file:          enforcing

Policyversion:                 21

Policy fromconfig file:        targeted

或

[root@redhat~]# getenforce

Permissive

2．切换成强制模式

[root@redhat~]# setenforce 1

[root@redhat~]# getenforce

Enforcing

注：使用setenforce切换enforcing与permissive模式不需要重启计算机。

1.2.3 检查安全上下文

1．检查帐号的安全上下文

[root@redhat~]# id -Z

root:system_r:unconfined_t:SystemLow-SystemHigh

2．检查进程的安全上下文

[root@redhathome]# ps -Z

LABEL                             PIDTTY          TIME CMD

root:system_r:unconfined_t:SystemLow-SystemHigh2383 pts/0 00:00:00 bash

root:system_r:unconfined_t:SystemLow-SystemHigh2536 pts/0 00:00:00 ps

3．检查文件与目录的安全上下文

[root@redhathome]# ls -Z

drwx------  tom  tom  system_u:object_r:user_home_dir_ttom

1.2.4 修改文件/目录安全上下文与策略

1．chcon命令

chcon -u[user]  对象

-r[role]

-t[type]

-R递归

示例：

chcon -R -tsamba_share_t /tmp/abc

注：安全上下文的简单理解说明，受到selinux保护的进程只能访问标识为自己只够访问的安全上下文的文件与目录。

例如：上面解释为使用smb进程能够访问/tmp/abc目录而设定的安全上下文。

2．getsebool命令

获取本机selinux策略值，也称为bool值。

getsebool-a  命令同sestatus -b

[root@redhatfiles]# getsebool -a

NetworkManager_disable_trans–> off

allow_cvs_read_shadow–> off

allow_daemons_dump_core–> on

allow_daemons_use_tty–> off

allow_execheap–> off

allow_execmem–> on

allow_execmod–> off

allow_execstack–> on

allow_ftpd_anon_write–> off

allow_ftpd_full_access–> off

…

httpd_disable_trans–> off

说明：selinux的设置一般通过两个部分完成的，一个是安全上下文，另一个是策略，策略值是对安全上下文的补充。

3．setsebool命令

setsebool -Pallow_ftpd_anon_write=1

-P 是永久性设置，否则重启之后又恢复预设值。

示例：

[root@redhatfiles]# setsebool -P allow_ftpd_anon_write=1

[root@redhatfiles]# getsebool allow_ftpd_anon_write

allow_ftpd_anon_write–> on

说明：如果仅仅是安全上下文中设置了vsftpd进程对某一个目录的访问，配置文件中也允许可写，但是selinux中策略中不允许可写，仍然不可写。所以基于selinux保护的服务中，安全性要高于很多。

1.3 SElinux应用

最后说一下我的学习路线

其实很简单就下面这张图，含概了Android所有需要学的知识点，一共8大板块：

1. 架构师筑基必备技能
2. Android框架体系架构（高级UI+FrameWork源码）
3. 360°Androidapp全方位性能调优
4. 设计思想解读开源框架
5. NDK模块开发
6. 移动架构师专题项目实战环节
7. 移动架构师不可不学习微信小程序
8. 混合开发的flutter

Android学习的资料

我呢，把上面八大板块的分支都系统的做了一份学习系统的资料和视频，大概就下面这些，我就不全部写出来了，不然太长了影响大家的阅读。需要的小伙伴可以私信我【进阶】我免费分享给大家，或者直接点击下面链接领取，谢谢大家这么久以来的支持。

Android学习PDF+架构视频+面试文档+源码笔记

如果你有其他需要的话，也可以在GitHub上查看，下面的资料也会陆续上传到Github

330页PDF Android学习核心笔记（内含上面8大板块）

Android学习的系统对应视频

总结

我希望通过我自己的学习方法来帮助大家去提升技术：

• 1、多看书、看源码和做项目，平时多种总结

• 2、不能停留在一些基本api的使用上，应该往更深层次的方向去研究，比如activity、view的内部运行机制，比如Android内存优化，比如aidl，比如JNI等，并不仅仅停留在会用，而要通过阅读源码，理解其实现原理

• 3、同时对架构是有一定要求的，架构是抽象的，但是设计模式是具体的，所以一定要加强下设计模式的学习

• 4、android的方向也很多，高级UI，移动架构师，数据结构与算法和音视频FFMpeg解码，如果你对其中一项比较感兴趣，就大胆的进阶吧！

  进阶学习资料领取方式：GitHub

希望大家多多点赞，转发，评论加关注，你们的支持就是我继续下去的动力！加油！

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数初中级安卓工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新Android移动开发全套学习资料》送给大家，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频
如果你觉得这些内容对你有帮助，可以添加下面V无偿领取！（备注Android）

过华为、OPPO等大厂，18年进入阿里一直到现在。**

深知大多数初中级安卓工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新Android移动开发全套学习资料》送给大家，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。
[外链图片转存中…(img-Ab5fiaJc-1710984476022)]
[外链图片转存中…(img-AxQ0jqix-1710984476022)]
[外链图片转存中…(img-47Yfv4YS-1710984476023)]
[外链图片转存中…(img-2wmfAVb4-1710984476023)]

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频
如果你觉得这些内容对你有帮助，可以添加下面V无偿领取！（备注Android）
[外链图片转存中…(img-Ku5IJyxI-1710984476024)]