如何开启 Linux 的 SELinux 安全功能 (linux 开启selinux)

SELinux 是一种用于强制访问控制的安全系统，通常用于 Linux 操作系统中。它提供了一种在系统级别实现访问控制的方法，可以限制操作系统和应用程序的行为。SELinux 是一种可选的安全功能，但它可以帮助系统管理员以及企业增强 Linux 系统的安全性。

虽然 SELinux 是一种强大的安全功能，但正确配置和使用它需要一些技术知识。在这篇文章中，我们将介绍。

安装 SELinux

在开始配置 SELinux 之前，您必须先确保您的 Linux 系统已安装 SELinux。您可以检查系统是否安装 SELinux，可以执行以下命令：

$ rpm -qa | grep selinux

如果您已经安装了 SELinux，则输出应该包含这个字样。如果 SELinux 没有安装，您可以使用以下命令安装：

$ yum install policycoreutils selinux-policy

开启 SELinux

SELinux 可以在三种模式下工作：enforcing、permissive 和 disable。当 SELinux 开启时，它将在 enforcing 模式下运行，这意味着它会例行检查并限制系统的行为。

要打开 SELinux，请编辑以下文件 /etc/selinux/config，并确认以下行和值：

SELINUX=enforcing

如果行以 # 开头，请删除它，然后保存更改。

重启系统使更改生效。此时，SELinux 将在 enforcing 模式下运行。

查看 SELinux 状态

现在 SELinux 已在 enforcing 模式下运行，您可以使用以下命令检查 SELinux 的状态：

$ sestatus

此命令将显示 SELinux 的当前状态，包括模式（enforcing、permissive 或 disabled）以及其他 SELinux 配置信息。

需要注意的是，如果您的系统没有安装 SELinux-policy 或出现了其他问题（例如，有一个策略不匹配的情况），则该命令将输出一个错误。

管理 SELinux 策略

SELinux 针对不同的软件包和应用程序，有自己的策略。这些策略控制这些程序可以执行的内容以及它们可以访问的内容。您可以使用以下命令管理 SELinux 策略：

$ semanage

这个命令和它的子命令允许您查看、创建、修改和删除 SELinux 策略。例如，要查看所有可用的 SELinux 策略，请使用以下命令：

$ semanage port -l

这将输出系统中所有可用的端口，其中包含 SELinux 政策。要查看特定软件包的 SELinux 策略，请使用以下命令：

$ semanage fcontext -l | grep httpd

此命令将输出所有与 httpd 相关的文件上下文。这对于配置 Apache HTTP 服务器等 Web 服务器非常有用。

更改 SELinux 常规安全策略

SELinux 提供了一些默认策略来确保系统的安全性。然而，这些策略可能会影响某些程序的正常运行。如果您需要放宽某些策略，请使用以下命令：

$ setsebool

此命令和它的子命令允许您更改 SELinux 常规安全策略的值。例如，要在 SELinux 中启用 Samba 共享，请使用以下命令：

$ setsebool -P samba_enable_home_dirs on

这将允许 Samba 共享访问用户的根目录。

结论

SELinux 是一种可选的安全功能，但它对于增强 Linux 系统的安全性非常有用。如果您将 SELinux 配置正确，并遵循 SELinux 的更佳实践，您将能够在系统层次上实现完整的安全控制。本文讨论了如何开启 SELinux，查看 SELinux 状态，管理 SELinux 策略以及更改 SELinux 常规安全策略的过程。希望这些信息有助于您在 Linux 操作系统中配置 SELinux 安全功能。