SELinux（Security-Enhanced Linux）是一个为Linux系统提供访问控制安全策略的安全模块。它是Linux内核的一个功能强大的安全子系统，旨在提供访问控制安全策略机制，以限制程序中特定代码段的权限。SELinux超越了传统的UNIX权限模型（即所有者、组和其他用户的读、写、执行权限），通过引入更多的安全策略，如类型强制（Type Enforcement）和多级安全（Multilevel Security）等，来提高系统的安全性。

SELinux的核心是策略（Policy），它定义了哪些类型的进程可以访问哪些类型的文件、目录、网络接口等资源。策略可以非常详细，精细控制到单个文件或单个网络连接。SELinux的策略可以分为几个主要类型：

1. 目标策略（Targeted Policy）：这是大多数Linux发行版默认的SELinux策略。它主要关注于保护系统中最关键的网络服务和守护进程，而不会对大多数用户空间应用程序施加额外的限制。

2. 最小权限策略（Minimum Policy）：比目标策略更为严格，限制更多，适用于需要高度安全性的环境。

3. 多级别安全策略（MLS Policy）：这种策略实现了美国国防部可信计算机系统评估准则（TCSEC）中的B级或更高安全级别的要求，通过更复杂的分类和标签系统来保护信息。

SELinux有两种主要的工作模式：

1. Enforcing：这是SELinux的正常工作模式，此时SELinux的策略将被强制执行。任何违反策略的操作都会被阻止，并记录到日志中。

2. Permissive：在这种模式下，SELinux的策略不会被强制执行，但所有违反策略的操作仍然会被记录到日志中。这允许管理员在不影响系统正常操作的情况下，分析和调试SELinux策略。

SELinux的引入大大提高了Linux系统的安全性，但同时也可能带来一些兼容性问题，因为不是所有的Linux应用程序都考虑到了SELinux的安全模型。因此，在使用SELinux时，可能需要进行一些配置和调整，以确保系统的兼容性和安全性。

总之，SELinux是Linux系统中一个强大的安全特性，通过精细的访问控制策略来提高系统的安全性。然而，它也需要管理员具备一定的安全知识和技能，以正确配置和管理SELinux策略。

SELinux（Security-Enhanced Linux）是美国国家安全局（NSA）对于强制访问控制（MAC）的实现，是Linux历史上最杰出的新安全子系统。以下是对SELinux的详细介绍：

一、SELinux的概述

SELinux是Linux内核的一个功能强大的安全模块，它通过引入更多的安全策略，如类型强制（Type Enforcement）和多级安全（Multilevel Security）等，来提高系统的安全性。SELinux超越了传统的UNIX权限模型，通过精细的访问控制策略来限制程序中特定代码段的权限。

二、SELinux的组成

SELinux主要由以下几个部分组成：

• 主体（Subjects）：通常指进程或线程，是访问请求的发起者。
• 对象（Objects）：被访问的资源，如文件、目录、套接字等。
• 策略（Policy）：定义了哪些类型的主体可以访问哪些类型的对象，以及访问的方式。
• 安全上下文（Security Context）：每个主体和对象都有一个安全上下文，用于标识其类型、角色和敏感度等安全属性。

三、SELinux的工作模式

SELinux有三种主要的工作模式：

• Enforcing（强制模式）：在这种模式下，SELinux的策略将被强制执行。任何违反策略的操作都会被阻止，并记录到日志中。
• Permissive（宽容模式）：在这种模式下，SELinux的策略不会被强制执行，但所有违反策略的操作仍然会被记录到日志中。这允许管理员在不影响系统正常操作的情况下，分析和调试SELinux策略。
• Disabled（禁用模式）：在这种模式下，SELinux被完全禁用，系统不会执行任何SELinux相关的安全策略。

四、SELinux的应用场景

SELinux主要应用于需要高安全性的场景，如政府、军事、金融等领域的服务器和关键业务系统。通过SELinux的强制访问控制策略，可以有效地防止未授权访问和恶意软件的攻击，提高系统的整体安全性。

五、SELinux的优缺点

优点：

1. 提高安全性：通过精细的访问控制策略，SELinux能够有效地防止未授权访问和恶意软件的攻击。
2. 灵活性：SELinux的策略可以根据实际需求进行定制和调整，以适应不同的安全需求。
3. 兼容性：大多数Linux发行版都支持SELinux，并且提供了相应的管理工具和文档。

缺点：

1. 复杂性：SELinux的配置和管理相对复杂，需要管理员具备一定的安全知识和技能。
2. 性能影响：SELinux的强制访问控制策略可能会对系统性能产生一定的影响，尤其是在处理大量访问请求时。
3. 兼容性问题：不是所有的Linux应用程序都考虑到了SELinux的安全模型，因此在某些情况下可能会出现兼容性问题。

六、SELinux的安装与配置

SELinux通常作为Linux发行版的一部分进行安装，例如Fedora和Red Hat Enterprise Linux（RHEL）等。对于不支持SELinux的Linux发行版，如Ubuntu和Debian等，也可以通过安装相应的软件包来启用SELinux。

SELinux的配置主要通过修改配置文件（如/etc/selinux/config）和使用管理工具（如setenforce、sestatus等）来完成。管理员可以根据实际需求设置SELinux的工作模式和策略，并监控系统的安全状态。

SELinux 的配置文件 /etc/selinux/config 的 SELINUX 和 SELINUXTYPE

SELinux（Security-Enhanced Linux）的配置文件/etc/selinux/config中包含了两个关键的配置项：SELINUX和SELINUXTYPE。这两个配置项分别用于控制SELinux的工作模式和策略类型。

SELINUX

作用：
SELINUX配置项用于指定SELinux的工作模式，即SELinux策略的执行方式。

可选值：

• enforcing：强制模式。在这种模式下，SELinux策略被完整执行，任何违反策略的行为都会被阻止并记录到日志中。这是SELinux的主要模式，推荐在所有要求增强Linux安全性的操作系统上使用。
• permissive：宽容模式。在这种模式下，SELinux策略规则不会被强制执行，但是会记录任何违反策略的行为（即审核遭受拒绝的消息）。这个模式在调试和测试SELinux策略时非常有用，因为它允许系统继续运行而不会因违反策略而中断。
• disabled：不生效模式。在这种模式下，SELinux内核机制是完全关闭的，SELinux策略不会被加载和执行。这个模式通常只在极端情况下使用，比如当SELinux策略错误导致系统无法登录时。

SELINUXTYPE

作用：
SELINUXTYPE配置项用于指定SELinux的策略类型，即定义系统中各种对象和主体之间的访问控制规则的集合。

可选值：

• targeted：这是默认的SELinux策略类型。它主要保护网络服务和其他一些关键的系统进程，而对大多数应用程序和用户的限制较少。这种策略类型旨在提高系统的安全性，同时保持系统的可用性和易用性。
• mls（Multi-Level Security）：多级安全保护策略。理论上，这种策略类型提供了更严格的安全保护，涵盖了网络服务、一般指令、应用程序等多个方面。然而，需要注意的是，在现代Linux发行版中，mls策略可能不是直接可用的，或者其名称可能有所不同。此外，由于配置复杂，它在实际应用中可能较少使用。

注意事项：

• 修改/etc/selinux/config文件需要root权限。
• 如果从disabled模式切换到其他模式（enforcing或permissive），或者从enforcing、permissive模式切换到disabled模式，通常需要重启Linux系统才能使更改生效。但是，在enforcing和permissive模式之间切换时，通常不需要重启系统。
• SELinux策略的安装和配置可能因Linux发行版而异，因此在进行任何更改之前，建议查阅特定发行版的文档或指南。

总之，SELINUX和SELINUXTYPE是SELinux配置文件中两个重要的配置项，它们分别控制SELinux的工作模式和策略类型。正确配置这两个参数对于确保Linux系统的安全性和功能至关重要。

SELinux的 getenforce 和 setenforce

SELinux（Security-Enhanced Linux）是一个为Linux系统提供访问控制安全策略的安全模块。在SELinux中，getenforce和setenforce是两个重要的命令，用于查看和设置SELinux的当前执行模式。

getenforce

作用：
getenforce命令用于查看SELinux当前的执行模式。SELinux有三种执行模式：enforcing（强制模式）、permissive（宽容模式）和disabled（禁用模式）。

使用方法：
在终端中输入getenforce命令，系统将返回当前的SELinux执行模式。例如：

[root@localhost ~]# getenforce
Enforcing

这表明SELinux当前处于强制模式。

setenforce

作用：
setenforce命令用于设置SELinux的执行模式。然而，需要注意的是，setenforce命令只能在enforcing（强制模式）和permissive（宽容模式）之间切换，无法直接切换到disabled（禁用模式）。要禁用SELinux，需要修改配置文件/etc/selinux/config。

使用方法：

• 切换到宽容模式（permissive）：

setenforce 0

执行后，SELinux将不再强制执行策略，但会记录违反策略的行为。

• 切换到强制模式（enforcing）：

setenforce 1

执行后，SELinux将恢复强制执行策略。

注意事项：

• 使用setenforce命令进行的更改是临时的，系统重启后，SELinux的执行模式将恢复到/etc/selinux/config文件中配置的模式。
• 要永久更改SELinux的执行模式，需要编辑/etc/selinux/config文件，将SELINUX的值设置为enforcing、permissive或disabled，然后重启系统。

总结

getenforce和setenforce是SELinux中用于查看和设置当前执行模式的两个重要命令。getenforce用于查看当前模式，而setenforce用于在强制模式和宽容模式之间切换。要永久更改SELinux的执行模式，需要编辑配置文件并重启系统。

---

CentOS7.9 的 SELinux的 getenforce setenforce 配置文件/etc/selinux/config的SELINUX和SELINUXTYPE

默认的配置文件为: /etc/selinux/config
进入文件夹

cd /etc/selinux

编辑 /etc/selinux/config

vi /etc/selinux/config

默认内容

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

可看出有两个配置项: SELINUX 和 SELINUXTYPE

• SELINUX有三种取值,三者取其一, 对应SELinux的三种主要的工作模式：

  • 值enforcing 对应 Enforcing（强制模式）：在这种模式下，SELinux的策略将被强制执行。任何违反策略的操作都会被阻止，并记录到日志中。
  • 值permissive 对应 Permissive（宽容模式）：在这种模式下，SELinux的策略不会被强制执行，但所有违反策略的操作仍然会被记录到日志中。这允许管理员在不影响系统正常操作的情况下，分析和调试SELinux策略。
  • 值disabled 对应 Disabled（禁用模式）：在这种模式下，SELinux被完全禁用，系统不会执行任何SELinux相关的安全策略。

• SELINUXTYPE也有三种取值, 三取一

  • targeted: (默认) , 针对网络服务限制较多，针对本机限制较少，是默认的策略；

  • minimum : 目标策略的修改。只有选定的进程受到保护 , 这个选项不是标准策略类型 , SELinux的标准策略类型中，并没有直接称为“minimum”的官方策略。应该是CentOS自定义的

  • mls（Multi-Level Security）：多级安全保护策略。理论上，这种策略类型提供了更严格的安全保护，涵盖了网络服务、一般指令、应用程序等多个方面。然而，需要注意的是，在现代Linux发行版中，mls策略可能不是直接可用的，或者其名称可能有所不同。此外，由于配置复杂，它在实际应用中可能较少使用。

SELinux（Security-Enhanced Linux）是一个为Linux系统提供访问控制安全策略的安全模块。在SELinux中，getenforce和setenforce是两个关键的命令，它们分别用于查看和设置SELinux的当前执行模式。

getenforce

作用：

getenforce命令用于显示当前SELinux的执行模式。SELinux有三种主要的执行模式：enforcing（强制模式）、permissive（宽容模式）和disabled（禁用模式）。

使用方法：

在终端中输入getenforce命令，系统将返回当前的SELinux执行模式。例如，如果SELinux当前处于强制模式，则命令输出将是Enforcing。

setenforce

作用：

setenforce命令用于在SELinux的两种执行模式之间进行切换：enforcing（强制模式）和permissive（宽容模式）。然而，需要注意的是，setenforce命令无法直接将SELinux设置为disabled（禁用模式）。要禁用SELinux，需要修改配置文件/etc/selinux/config。

使用方法：

• 切换到宽容模式（permissive）：

  在终端中输入setenforce 0命令，SELinux将切换到宽容模式。在这种模式下，SELinux不会阻止违反策略的行为，但会记录这些行为。

• 切换到强制模式（enforcing）：

  在终端中输入setenforce 1命令，SELinux将切换到强制模式。在这种模式下，SELinux将严格执行策略，并阻止任何违反策略的行为。

注意事项：

1. 临时性：使用setenforce命令进行的更改是临时的，系统重启后，SELinux的执行模式将恢复到/etc/selinux/config文件中配置的模式。
2. 持久性更改：要永久更改SELinux的执行模式，需要编辑/etc/selinux/config文件，将SELINUX的值设置为enforcing、permissive或disabled，然后重启系统。
3. 安全性：在更改SELinux的执行模式之前，建议仔细考虑这些更改对系统安全性的影响。禁用SELinux可能会使系统面临更高的安全风险。

综上所述，getenforce和setenforce是SELinux中用于查看和设置当前执行模式的重要命令。它们允许系统管理员根据需要对SELinux的安全策略进行调整，以确保系统的安全性和可用性。