當(dāng)你考慮在服務(wù)器上使用SELinux時(shí)，了解一些基本命令和管理工具會(huì)有所幫助。本文是三本SELinux教程的一部分，在這里，我們將提供一些命令來幫助你確保Linux服務(wù)器的安全。

除了這些新的SELinux命令，一些內(nèi)置的Linux命令，如cp、mv、ls和ps，都隨著SELinux的啟動(dòng)變成使用–Z標(biāo)記。標(biāo)識(shí)符命令也被修改來顯示連同用戶默認(rèn)安全屬性的用戶安全環(huán)境。

SELinux配置決竅

除了Linux服務(wù)器上文件和單獨(dú)流程的安全環(huán)境，SELinux還有更多安全功能。在這篇文章中涵蓋所有SELinux功能和基本的安全模式幾乎是不可能的，但這里我會(huì)強(qiáng)調(diào)關(guān)鍵的那些。

端口管理：你可以通過SELinux管理對(duì)系統(tǒng)端口的訪問。默認(rèn)情況下，SELinux允許應(yīng)用訪問默認(rèn)端口(如ssh可訪問端口22)，不過一旦禁用SELinux，你也可以重新配置任一應(yīng)用來訪問任一非默認(rèn)端口。

為了得到SELinux管理端口的完整清單，你可以使用以下命令：

#/home/root>semanage port –l
將ssh的訪問端口從22改成24
#/home/root> semanage port –a –t ssh_port_t –p tcp 24

然后重啟ssh相關(guān)的服務(wù)。

用戶管理：有了SELinux嚴(yán)格用戶管理功能的幫助，你可以讓你的服務(wù)器“確實(shí)難以攻破”。它們可以在任一SELinux政策中擔(dān)任重要角色。但在目標(biāo)政策中(默認(rèn)的SELinux政策)，每個(gè)域運(yùn)行一個(gè)單一角色且TE用來從其它流程中分離出受限的流程。

因此，在目標(biāo)SELinux政策中，流程和對(duì)象問題以system_u的形式出現(xiàn)，而所有的默認(rèn)Linux用戶是user_u，就像下面顯示的：

但在嚴(yán)格政策中，一些系統(tǒng)帳戶可以運(yùn)行在普通的、無特權(quán)的user_u身份下，而其它帳戶可以在政策數(shù)據(jù)庫中有直接身份。

自定義政策模塊(Customized Policy Modules)：有時(shí)候我們?cè)谠诮ELinux時(shí)面對(duì)的情況是政策和布爾運(yùn)算條件可能不足。在這種情況下，我們可以利用audit2allow命令來定義我們的自定義SELinux政策。舉例來說，如果否定錯(cuò)誤登入到所有ftp相關(guān)服務(wù)的審計(jì)日志中，我們可以用以下句子來形成我們的自定義SELinux政策模塊：

#/home/root> # grep ftpd_t /var/log/audit/audit.log | audit2allow -M ftplocal

這個(gè)自定義ftp相關(guān)政策模塊之后可以如下方式下載到現(xiàn)有的SELinux目標(biāo)政策：

#/home/root> semodule –i ftplocal

由于SELinux缺乏文檔編制和技巧，很多管理員都忽略了它。但是有默認(rèn)目標(biāo)政策的SELinux模式對(duì)很多管理員來說都是一個(gè)安全的起始點(diǎn)。如果你準(zhǔn)備測(cè)試它，我建議先運(yùn)行幾天，觀察所有錯(cuò)誤和警告的日志，如果沒有錯(cuò)誤，切換到執(zhí)行模式。

如果你正運(yùn)行一些特定的數(shù)據(jù)庫或應(yīng)用(如MySql或Oracle)，也要注意，在服務(wù)器上執(zhí)行SELinux政策之前，你應(yīng)該為SELinux相關(guān)指令查看特定版本的文檔編制。

原文鏈接：http://www.searchsv.com.cn/showcontent_45458.htm

【編輯推薦】

1. RHEL 5上的SELinux配置
2. SELinux簡介：Linux內(nèi)核安全
3. SELinux實(shí)例：使用安全增強(qiáng)的Linux