一、SELinux

SElinux的前身是NSA（美國國家安全局）發起的一個項目。它的目的是將系統加固到可以達到軍方級別。

為什么NSA選擇Linux呢？

在目前市面上大多數操作系統都是商用閉源的，只有Linux是開源的，這樣修改并加入這項功能就方便許多，而且沒有版權糾紛。所以，現在selinux就成為了Linux內核的一部分。

在了解selinux之間，我們需要知道DAC和CS的概念，它們是linux系統本身的安全機制。

DAC:自主訪問控制

每一個用戶為了能夠實現和其他用戶共享文件，在使用ACL之前，只能通過改變這個文件其他用戶的權限，但是這中方法給系統安全帶來了無窮的隱患。

CS（安全上下文）：取決于發起用戶的權限和文本本身的權限?

CS+DAC給系統的安全機制帶來了漏洞,事想apache用戶可以查看/etc/passwd，如果它有寫權限，就可能被利用進而就修改passwd文件，危害系統安全。

所有才又了MAC強制訪問控制的概念

MAC: Mandatory Access Control? 強制訪問控制，它是selinux實現訪問控制的基礎

還通過httpd服務來說明它的原理：

SELINUX通過type enforce （TE）強制類型策略將httpd的工作目錄定義在一個特定的目錄/var/www用戶如果在定義其他目錄，將不允許訪問，從而實現mac的強制訪問控制。

selinux是怎么工作的

它通過operation (操作)的主和賓打一個“標簽”，在一個“類型”里只能由特定的目錄或用戶執行。這樣可以限定一個進程的執行范圍只能在一個“沙箱”（sandbox）內了（最小權限法則）

###operation: 讀，寫，執行，等。其實是一個主謂賓的結構 Subject Operation Object

###最小權限法則：例如定義Sbjiect httpd?? 的目錄/var/www 為public_content_t類型，這樣，httpd只能訪問有這個特定類型的文件或目錄，這些文件就叫沙箱“sendbox”

使用selinx，必須精心設計一套訪問法則

給不同的進程打上不同的“域”，給不同的目錄打上不同的”類型“通過定義“類型”和“域”的對應規則，來實現。selinx需要域和標簽的對應關系，一對一對應???? 。但是系統上有上千個進程，實現起來很麻煩，所以一般情況下，并不是用selinx作為安全防范。??????????????????

selinux的實現機制有兩種

strict:?????? 任何進程都受selinux的控制,一般不用，太難設定

targeted:?? 紅帽開發，指定選定的進程來受SELINUX，這種機制使得selinx更加容易受到控制?

policy： 規則組合起來就叫策略

規則通常是以二進制文件存在的（編輯完轉換成二進制），這樣可以降低系統資源占用

ll /etc/selinxu/policy

MLS? muiti level scurity

?

selinxu把一些規則里面可以方便控制的功能設定為on或者off，這些都成為布爾類型

getsebool -a?? 可以顯示這些布爾型的內容

fcontext 規定目錄屬于哪個進程的范圍

啟動使用selinux

1.啟用selinux

1.vim /etc/sysconfig/selinux?
2.SELINUX=enforcing????? #任何進程都受selinux控制?
3.???????????????????????????????????? permissive??? #仍然受控制，但是進程進入了別的目錄會記錄到日志?
4.???????????????????????????????????? disable?????????? #干凈徹底的關閉?
5.setenforce?
6.genenforce?
2.顯示標簽

1.ls -Z?????????? 顯示文件的標簽?
2.?????????????????? 一共五段???? 角色：selinux里另外定義的用戶?
3.????????????????????????????????????????????????????????? object_r: 有點類似于組?
4.????????????????????????????????????????????????????????? user_home_t: 域或者類型（最重要）通過改變它可以控制訪問。類型強制的機制就是通過它實現的?
5.ps -Z????????? 顯示進程的標簽?
6.所有顯示unconfined_t都表示不受selinux控制?
7.ps auxZ | grep httpd?
8.ls -dZ?
在不同的目錄建立的文件類型是不一樣的，歸不同的進程管理。

3.改變一個類型的標簽

1.chcon???? chage contex? 改變上下文?
2.chcon -t??? 改類型，指定為特定類型?
3.??????????????? -u????
4.??????????????? -R?? 遞歸修改，可以改變目錄下所有目錄?
5.????????????????????? --reference=?? 以某個文件的標簽為參照改變成一樣的標簽?
6.chcon -R --reference=/var/www/html /www?
7.chcon -t default_t /www/index.html?
4.恢復默認安全上下文及修改

1.restorecon?
2.?????????????????? -R?????????????????? 遞歸?
3.?????????????????? -F?????????????????????????????????????????? 強制?
4.?????????????????? -v?????????????????????????????????????????? 顯示詳細信息????
5.restorecon -R -v -F /www???????????? # 顯示/www目錄的詳細CS信息??????????????????????
6.semange?
7.?????????????????? -d????????????????? 刪除?
8.?????????????????? -m???????????????? 修改?
9.?????????????????? -r?
10.????????????????? -a?????????????????? 附加?
11.?????????????????? -t??????????????????? 類型?
12.??

6.開啟布爾類型

1.getsebool -a? | grep httpd?????????????????? #查看某個對應的布爾類型的值?
2.setsebool httpd_enable_cgi=on????????? # 加上-p選項永久有效?

?

二、實現samba來測試selinux控制

?1.添加tools文件夾

1.vim /etc/samba/smb.conf?
2.[tools]?
3.?????? path = /share??????????????????????? #沒有的話事前創建一個?
4.?????? public = yes? 5.??????? write list = @mygrp???????????????? #只允許mygrp組具有創建文件的權限?
6.?????? browseable = yes?
7.service smb start?
2.添加用戶gentoo,并設置samba密碼，允許器登陸samba服務器在tools下創建文件

1.</pre><pre class="cpp" name="code">groupadd mygrp?
2.useradd gentoo -g mygrp?
3.[root@station32 var]# smbpasswd -a gentoo?
4.New SMB password:?
5.Retype new SMB password:? 6.Added user gentoo.?
7.smbclient -L 192.168.0.32 -U gentoo????????? # 查看samba服務器的內容?
3.我們查看下/shared目錄的CS，并且開啟selinux

1.ls -dZ /share/?
2.drwxrwxr-x root mygrp root:object_r:default_t????????? /share/?
3.setenforce 1?
4.開啟selinux后，再使用smbclient命令就會報錯，我們看下配置文件里面有這樣一行 # To set a label use the following: chcon-t samba_share_t /path ，所以我們必須把/shared文件夾的CS修改后才能正常使用samba

1.chcon -t samba_share_t? /share?

?

?

5.我們關閉samba里關于訪問家目錄的布爾類型

1.setsebool samba_enable_home_dirs off??
這個時候使用win網絡鄰居，以用戶gentoo登陸后，就不能進入gentoo家目錄了

?

6.我們將它開啟就又能訪問了，命令如下：

1.setsebool samba_enable_home_dirs on?

本篇文章來源于 Linux公社網站(www.linuxidc.com)? 原文鏈接：http://www.linuxidc.com/Linux/2011-09/42783.htm

轉載于:https://www.cnblogs.com/Totems/p/3246533.html

總結

以上是生活随笔為你收集整理的Linux中的SELinux与chcon以及Samba实现【转】的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。