SELinux 入门 pt.2

咸鱼在《SELinux 入门 pt.2》中继续深入讨论了SELinux的运作机制。文章首先回顾了SELinux使用的MAC模型和几个关键概念，包括主体、目标、策略和安全上下文，并解释了对于受SELinux管制的进程，需要先通过SELinux策略规则的检查，然后再进行DAC规则检查。

文章指出，并非所有程序都受SELinux管制。受限制的进程称为“受限程序主体”，例如crond进程，而不受限制的进程，如本机的bash进程，可以直接进行权限比对。

接着，文章介绍了SELinux的三种运行模式：强制（Enforcing）、宽松（Permissive）和禁用（Disabled）。强制模式下会严格执行访问控制规则，宽松模式下会记录违反规则的操作但不会阻止，而禁用模式下SELinux不再提供安全限制。作者还提供了查看和切换SELinux运行模式的方法，包括临时切换和永久更改配置文件的步骤。

文章进一步讨论了SELinux的策略和规则，说明了如何使用sestatus命令查看当前策略，以及如何使用seinfo等工具查看特定进程类型的文件访问权限。举例说明了crond_t类型的进程能够读取的文件资源类型。

在安全上下文的部分，文章回顾了前篇文章的内容，并详细阐述了如何使用chcon命令手动修改安全上下文，包括递归修改、指定新类型、用户和角色的选项。同时，也提到了使用restorecon命令恢复默认SELinux上下文的方法和语法。

总之，本篇文章为读者提供了SELinux的深入理解，解释了受限进程的检查机制，SELinux的不同运行模式及其影响，以及如何管理和修改SELinux的策略、规则和安全上下文。作者鼓励读者通过“一键三连”支持其创作。

想要了解更多内容？

查看原文：SELinux 入门 pt.2

文章来源：

咸鱼运维杂谈

扫码关注公众号