1. SELinux概述

Linux SELinux是一种内核平安模块， 它强化了Linux系统的平安机制，通过强制访问控制策略来限制用户和进程对系统资源的访问。SELinux提供了一种细粒度的权限管理方式，确保系统更加平安可靠。

2. SELinux权限查看与修改

• 查看权限ls -Z /path/to/file
• 修改上下文chcon user_u:object_r:home_dir_t:s0 /path/to/file

3. 用户和角色

• 用户SELinux将用户映射到特定的平安上下文。
• 角色角色是一组权限集合，可以分配给用户。
• 查看当前用户的角色id -Z
• 切换角色newrole -r role_name -Z

4. 策略管理

• 策略文件SELinux策略通常存储在/etc/selinux/目录下 主要包括SELinux.confpolicy/policy.*等文件。
• 加载策略semodule -i policy_semodule -e policy_
• 查看已加载的策略semodule -l

5. 布尔值和上下文

• 布尔值控制特定功能的启用或禁用，比方说允许NFS共享。
• 查看布尔值getsebool -a | grep nfs
• 设置布尔值setsebool -P nfs_export_all_ro 1

6. 审计日志

• 查看SELinux审计日志ausearch -m avc -ts recent
• 配置审计策略audit2allow -M mypol

7. 强制模式与宽容模式

• 强制模式SELinux强制施行所有策略规则。
• 宽容模式SELinux记录违规行为但不阻止它们。
• 切换模式setenforce 0 # 宽容模式 setenforce 1 # 强制模式

8. 用户空间工具

• semanage用于管理SELinux策略中的各种对象，如文件类型、端口等。
• audit2why分析审计日志并解释为什么某些操作被拒绝。
• audit2allow根据审计日志生成自定义策略模块。

9. 自定义策略

• 编写策略模块使用checkpolicy工具编译自定义策略。
• 测试策略在测试环境中应用新策略并进行验证。

注意事项

• 在修改SELinux策略或上下文时要非常小心，错误的配置可能导致系统不稳定或平安漏洞。
• 建议在生产环境中使用宽容模式进行调试，确保新策略不会引入问题后再切换到强制模式。

通过以上方法， 你可以有效地管理和控制Linux系统中用户和进程的权限，提高系统的平安性。

---