1.9 管理SELinux

1.9.1 SELinux简介

SELinux（Security-Enhanced Linux，安全增强型Linux）是一种基于域—类型模型的强制访问控制（MAC）安全系统。它由美国国家安全局编写并设计成内核模块包含到内核中，相应的某些安全相关的应用也被打了SELinux的补丁，最后还有一个相应的安全策略。

在SELinux中定义了许多类型（TYPE），每一个进程、文件、设备等都必须标识它所属的类型。进程只能读取相同类型的文件，如果没有相关类型，并且SELinux不允许读取的时候，则无法读取文件。SELinux除了约束进程读取文件的能力之外，还限制进程对设备、网络联机、通信端口、跨进程通信等的读取能力，并提供更细致的读取控制。

在Linux系统中，通过使用SELinux管理工具可以以图形界面方式来管理SELinux，使用这种方式管理时简单、明了。

使用以下命令安装policycoreutils-gui软件包。

1.9.2 设置SELinux

在Linux系统图形界面中，单击面板上的【应用程序】→【其他】→【SELinux管理】，打开【添加管理员】界面。

1.状态

在图1.54所示的【状态】选项卡页面上，设置系统默认的应用模式（更改之后会在重启系统后应用新的模式）、当前应用模式（更改之后会立即应用新的模式）和系统默认的策略类型。系统默认的策略类型为targeted，用来保护常用的网络服务，是SELinux的默认值。

可以设置以下三种系统默认的应用模式。

● enforcing：强制模式，只要SELinux不允许，就无法执行；

● permissive：允许模式，将该事件记录下来，依然允许执行；

● disabled：禁用SELinux。

图1.54 状态

2.布尔值

SELinux提供了许多变量来快速启用或停用SELinux的部分功能，这些变量称为布尔值。在图1.55所示的【布尔值】选项卡页面上可以配置SELinux布尔值，如启用或禁用SELinux布尔值。

图1.55 布尔值