Linux服务器配置与管（第二版）课件 项目10-任务二 配置和使用SELinux.pptx

任务二配置和使用SELinux

任务提出一任务分析二任务实施三任务总结四目录Contents同步训练五项目10防火墙配置与管理【项目描述】为了保证公司服务器的安全，需要在公司服务器上安装和运行防火墙。本项目中我们完成防火墙的配置与管理任务。【学习目标】(1)了解防火墙的工作原理。(2)掌握Linux防火墙的基本架构。(3)掌握Firewalld的基本使用。(4)理解SELinux的系统中的重要作用。(5)掌握SELinux的用户管理、角色管理、布尔值管理。(6)掌握SELinux在文件上下文、端口上下文中的应用。(7)增强文化自信，为国产品牌防火墙产品取得的成就而自豪。

01任务提出

任务提出1.设置SELinux工作模式查看SELinux当前的工作模式并将其修改为强制模式。2.管理Linux用户上下文(1)查看当前用户的上下文。(2)查看登录用户与SELinux用户的映射关系。(3)限制用户user001不能使用“su”命令。(4)删除对用户user001使用“su”命令的限制。3.管理SELinux用户角色(1)查看当前SELinux用户及其对应的角色。(2)添加SELinux用户swift_u，使其拥有staff_r和sysadm_r角色。(3)删除swift_u用户。4.管理SELinux权限(1)查看SELinux的布尔值。(2)禁止user001用户在/home和/tmp目录下运行可执行文件。5.管理SELinux文件上下文(1)查看系统中所有文件的默认上下文。(2)新创建/web目录，并查看其上下文。(3)为/web目录添加httpd_sys_content_t的上下文。(4)参考/var/www目录的上下文设置/web目录的默认上下文。6.管理SELinux的端口上下文修改SELinux端口上下文使得httpd服务能够监听12345端口。为了确保系统的安全性，服务器启用了SELinux。本次任务需要完成以下内容：

02任务分析

1.SELinux简介Linux系统的访问控制分为两个层次：一是自主访问控制（DiscretionaryAccessControl，DAC），它是根据主体(如用户、进程或I/O设备等)的身份和他所属的组限制对客体的访问。所谓的自主，是因为拥有访问权限的主体，可以直接(或间接)地将访问权限赋予其他主体(除非受到强制访问控制的限制)。例如对于文件的访问权限设置就属于DAC访问控制。另一种是强制访问控制（MandatoryAccessControl，MAC），是指一种由操作系统约束的访问控制，目标是限制主体或发起者访问或对对象或目标执行某种操作的能力。在实践中，主体通常是一个进程或线程，对象可能是文件、目录、TCP/UDP端口、共享内存段、I/O设备等。主体和对象各自具有一组安全属性。每当主体尝试访问对象时，都会由操作系统内核强制施行授权规则——检查安全属性并决定是否可进行访问。任何主体对任何对象的任何操作都将根据一组授权规则（也称策略）进行测试，决定操作是否允许。

1.SELinux简介SELinux（SecurityEnhancedLinux）是Linux实现强制访问控制的措施。SELinux由美国国家安全局发起，许多研究机构一起参与的操作系统强制性安全审查机制。该系统最初是作为一款通用访问软件发布于2000年12月，并在Linux内核2.6版本以后直接整合进入SELinux，搭建在LinuxSecurityModule基础上，目前已经成为最受欢迎、使用最广泛的安全方案。SELinux作为Linux的内核模块，也是Linux的一个安全子系统，其主要作用就是最大限度地减小系统中服务进程可访问的资源。

2.SELinux的工作原理SELinux与Linux系统整体架构的关系如图所示。

2.SELinux的工作原理SELinux模块的内部结构及与其他hook的关系如图所示。

3.SELinux的工作模式SELinux可使用三种模式运行：Enforcing（强制）、Permissive（宽容）或Disabled（禁用）。Enforcing模式是默认操作模式，在Enforcing模式下SELinux可以正常运行，并在整个系统中强制实施载入的安全策略。在Permissive模式中，系统会像Enforcing模式一样加载安全策略，包括标记对象并在日志中记录访问拒绝条目，但它并不会拒绝任何操作。不建议在生产环境系统中使用Permissive模式，但Permissive模式对SELinux策略开发和调试很有帮助。1)查看SELinux的工作模式【命令】getenf