使用SELinux保护CentOS系统安全

SELinux(Security-Enhanced Linux)是Linux内核的一个安全模块，提供了强制访问控制(MAC)机制，可以显著增强CentOS系统的安全性。以下是使用SELinux保护CentOS系统的详细指南：

1. 检查SELinux状态

# 查看当前SELinux状态
sestatus

# 或使用
getenforce

可能的输出结果： - Enforcing: 强制模式，完全启用SELinux安全策略 - Permissive: 宽容模式，仅记录违规行为但不阻止 - Disabled: 完全禁用

2. 启用/配置SELinux

如果SELinux当前是禁用状态，需要编辑配置文件并重启：

# 编辑SELinux配置文件
vi /etc/selinux/config

将SELINUX=行修改为：

SELINUX=enforcing

然后重启系统使更改生效。

3. SELinux工作模式切换

临时更改模式(重启后恢复)：

# 设置为强制模式
setenforce 1

# 设置为宽容模式
setenforce 0

4. 管理SELinux策略

查看文件/进程的SELinux上下文

# 查看文件上下文
ls -Z /path/to/file

# 查看进程上下文
ps -Z

修改文件上下文

# 临时修改
chcon -t httpd_sys_content_t /var/www/html/index.html

# 永久修改(使更改在文件系统relabel后仍然保留)
semanage fcontext -a -t httpd_sys_content_t "/var/www/html(/.*)?"
restorecon -Rv /var/www/html

5. 处理SELinux违规

查看SELinux日志

# 使用ausearch工具
ausearch -m avc -ts recent

# 或查看/var/log/audit/audit.log
grep "avc:" /var/log/audit/audit.log

使用audit2allow生成策略模块

# 生成可读报告
ausearch -m avc -ts recent | audit2allow

# 生成并安装策略模块
ausearch -m avc -ts recent | audit2allow -M mypolicy
semodule -i mypolicy.pp

6. 常用SELinux布尔值管理

SELinux布尔值是开关式策略，可以灵活调整：

# 列出所有布尔值
getsebool -a

# 查看特定布尔值(如HTTP服务相关)
getsebool -a | grep http

# 修改布尔值(允许HTTP访问家目录)
setsebool -P httpd_enable_homedirs on

7. 重要SELinux策略工具

• semanage: 策略管理工具
• restorecon: 恢复文件默认上下文
• audit2why: 解释拒绝消息
• sealert: 生成易读的报告

8. 最佳实践

1. 保持SELinux处于Enforcing模式：仅在排错时临时切换到Permissive模式
2. 优先使用布尔值调整策略：而不是直接禁用保护
3. 自定义策略优于完全禁用：使用audit2allow创建针对性策略
4. 定期检查日志：监控潜在的安全问题
5. 了解默认策略：熟悉常见服务(如httpd, ftpd等)的默认限制

9. 排错技巧

当服务因SELinux无法正常工作时： 1. 检查/var/log/audit/audit.log或/var/log/messages中的拒绝消息 2. 临时设置为Permissive模式测试是否是SELinux导致的问题 3. 使用sealert -a /var/log/audit/audit.log生成易读报告 4. 根据报告建议调整策略或上下文

通过合理配置和使用SELinux，可以显著提高CentOS系统的安全性，防止许多潜在的攻击和误操作。