Selinux極大的增強(qiáng)了Linux系統(tǒng)的安全性，能將用戶權(quán)限關(guān)在籠子里，如httpd服務(wù)，apache默認(rèn)只能訪問/var/www目錄，并只能監(jiān)聽80和443端口，因此能有效的防范0-day類的攻擊。舉例來說，系統(tǒng)上的 Apache 被發(fā)現(xiàn)存在一個(gè)漏洞，使得某遠(yuǎn)程用戶可以訪問系統(tǒng)上的敏感文件(比如 /etc/passwd 來獲得系統(tǒng)已存在用戶)，而修復(fù)該安全漏洞的 Apache 更新補(bǔ)丁尚未釋出。此時(shí) SELinux 可以起到彌補(bǔ)該漏洞的緩和方案。因?yàn)?/etc/passwd 不具有 Apache 的訪問標(biāo)簽，所以 Apache 對(duì)于 /etc/passwd 的訪問會(huì)被 SELinux 阻止。

CentOS系統(tǒng)自帶的chcon工具只能修改文件、目錄等的文件類型和策略，無法對(duì)端口、消息接口和網(wǎng)絡(luò)接口等進(jìn)行管理，semanage能有效勝任SELinux的相關(guān)配置工作。

安裝：

用法：
semanage命令用來查詢與修改SELinux默認(rèn)目錄的安全上下文。
semanage fcontext [-S store] -{a|d|m|l|n|D} [-frst] file_spec
semanage fcontext [-S store] -{a|d|m|l|n|D} -e replacement target

主要參數(shù):

-a：添加
-d：刪除
-m：修改
-l：列舉
-n：不打印說明頭
-D：全部刪除
-f：文件
-s：用戶
-t：類型
r：角色

基本使用：

管理登錄linux的用戶和SELinux局限的用戶之間的映射。

管理網(wǎng)絡(luò)接口類型定義

首先，用 semanage fcontext -l | grep '/var/www' 獲知默認(rèn) /var/www 目錄的 SELinux 上下文：

假設(shè)希望 Apache 使用 /srv/www 作為網(wǎng)站文件目錄，那么就需要給這個(gè)目錄下的文件增加 httpd_sys_content_t 標(biāo)簽，分兩步實(shí)現(xiàn)。

首先為 /srv/www 這個(gè)目錄下的文件添加默認(rèn)標(biāo)簽類型：semanage fcontext -a -t httpd_sys_content_t '/srv/www(/.*)?' 然后用新的標(biāo)簽類型標(biāo)注已有文件：restorecon -Rv /srv/www 之后 Apache 就可以使用該目錄下的文件構(gòu)建網(wǎng)站了。

其中 restorecon 在 SELinux 管理中很常見，起到恢復(fù)文件默認(rèn)標(biāo)簽的作用。比如當(dāng)從用戶主目錄下將某個(gè)文件復(fù)制到 Apache 網(wǎng)站目錄下時(shí)，Apache 默認(rèn)是無法訪問，因?yàn)橛脩糁髂夸浀南碌奈募?biāo)簽是 user_home_t。此時(shí)就需要 restorecon 將其恢復(fù)為可被 Apache 訪問的 httpd_sys_content_t 類型：

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。