前天在論壇看到高手寫的dedora普及教程 說是要 首先關閉selinux服務

我也不知道這個是什么服務

今天上網(wǎng)查了下 大概是一個和安全有關的服務

網(wǎng)上說 關閉這個服務的Linux就合windows 的安全系數(shù)是一樣的了！

為什么要關閉這個服務呢？下面是我在網(wǎng)上搜索的selinux 文章

一、SELinux簡介

RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大變化就在于集成了SELinux的支持。SELinux的全稱是Security-Enhanced Linux，是由美國國家安全局NSA開發(fā)的訪問控制體制。

SELinux可以最大限度地保證Linux系統(tǒng)的安全。至于它的作用到底有多大，舉一個簡單的例子可以證明：沒有SELinux保護的Linux的安全級別和Windows一樣，是C2級，但經(jīng)過保護SELinux保護的Linux，安全級別則可以達到B1級。如：我們把/tmp目錄下的所有文件和目錄權限設置為0777，這樣在沒有SELinux保護的情況下，任何人都可以訪問/tmp 下的內(nèi)容。而在SELinux環(huán)境下，盡管目錄權限允許你訪問/tmp下的內(nèi)容，但SELinux的安全策略會繼續(xù)檢查你是否可以訪問。

NSA推出的SELinux安全體系結構稱為 Flask，在這一結構中，安全性策略的邏輯和通用接口一起封裝在與操作系統(tǒng)獨立的組件中，這個單獨的組件稱為安全服務器。SELinux的安全服務器定義了一種混合的安全性策略，由類型實施 (TE)、基于角色的訪問控制 (RBAC) 和多級安全(MLS) 組成。通過替換安全服務器，可以支持不同的安全策略。SELinux使用策略配置語言定義安全策略，然后通過checkpolicy 編譯成二進制形式，存儲在文件(如目標策略/etc/selinux/targeted/policy/policy.18)中，在內(nèi)核引導時讀到內(nèi)核空間。這意味著安全性策略在每次系統(tǒng)引導時都會有所不同。

SELinux的策略分為兩種，一個是目標(targeted)策略，另一個是嚴格(strict)策略。有限策略僅針對部分系統(tǒng)網(wǎng)絡服務和進程執(zhí)行SELinux策略，而嚴厲策略是執(zhí)行全局的NSA默認策略。有限策略模式下，9個（可能更多）系統(tǒng)服務受SELinux監(jiān)控，幾乎所有的網(wǎng)絡服務都受控。配置文件是/etc/selinux/config，一般測試過程中使用“permissive”模式，這樣僅會在違反SELinux規(guī)則時發(fā)出警告，然后修改規(guī)則，最后由用戶覺得是否執(zhí)行嚴格“enforcing”的策略，禁止違反規(guī)則策略的行為。

規(guī)則決定SELinux的工作行為和方式，策略決定具體的安全細節(jié)如文件系統(tǒng)，文件一致性。在安裝過程中，可以選擇“激活”、“警告”或者“關閉”SELinux。默認設置為“激活”。安裝之后，可以在“應用程序”-->“系統(tǒng)設置”-->“安全級別”，或者直接在控制臺窗口輸入“system-config- securitylevel”來打開“安全級別”設置窗口。在“SELinux”選項頁中，我們不但可以設置“啟用”或者“禁用”SELinux，而且還可以對已經(jīng)內(nèi)置的SELinux策略進行修改。

SELinux相關命令：

ls -Z

ps -Z

id -Z

分別可以看到文件,進程和用戶的SELinux屬性。

chcon 改變文件的SELinux屬性。

getenforce/setenforce查看和設置SELinux的當前工作模式。

修改配置文件/etc/selinux/config后，需要重啟系統(tǒng)來啟動SELinux新的工作模式。

二、案例分析

Apache - "Document root must be a directory" 問題？

有可能和這個問題并發(fā)的問題還有 403 Forbidden　禁止訪問的問題。

現(xiàn)象描述：

不使用系統(tǒng)默認的 /var/www/html作為系統(tǒng)的Document Root，自己新建一個目錄后修改/etc/httpd/conf/httpd.conf 中的配置，然后重起Apache的Daemon，發(fā)現(xiàn)Apache無法起動，系統(tǒng)報錯：

Document root must be a directory

但是，我們設置的DocumentRoot 的確是一個目錄，而且apache用戶具有可讀權限。

另一種情況：新建一個虛擬目錄或文件后，無法訪問，顯示 Forbidden, 403 Error，但文件或目錄有可讀權限。

問題產(chǎn)生的原因：

一開始想來想去想不出為什么，但是給我感覺是權限的問題，用傳統(tǒng)的Linux的思維方式來看，權限絕對沒有問題。但是仔細一想，SELinux是不是會有其他安全的設定？

檢查 avcmessage，查看 /var/log/messages文件，發(fā)現(xiàn)有類似以下內(nèi)容的這樣一段：

Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:

denied{ getattr } forpid=19029 exe=/usr/sbin/httpd

path=/var/www/html/about.html dev=dm-0 ino=373900

scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_ttclass=file

嘿嘿，問題找到了，果然是SELinux的新特性搞的鬼。我把目錄或文件設成了user_home_t類型，因此apache的進程沒有權限，無法訪問。針對Apache的進程所使用的SELinux target policy規(guī)定了apache的進程只能訪問httpd_sys_content_t類型的目錄或文件。

解決辦法：

很簡單，把目錄或文件的策略類型改成 httpd_sys_content_t 就可以了。

# chcon -t httpd_sys_content_t [file_name | dir_name]

然后可以用 ls -laZ 命令查看文件目錄的策略類型。(T002)