Linux 系统安全加固：SELinux 入门

在今天的互联网环境中，信息安全已经成为了很多企业和机构的重点关注的问题。其中，操作系统的安全性是至关重要的一环。对于 Linux 操作系统的安全加固，我们可以使用 SELinux 来进一步提升安全性。

本文将会介绍 SELinux 的基础知识，以及如何在 Linux 系统上启用它来提高系统安全性。

一、SELinux 简介

SELinux（Security-Enhanced Linux）是一种强制访问控制（Mandatory Access Control，MAC）机制。它是由美国国家安全局（NSA）开发的，并且自 Linux 内核版本 2.6 以来已经成为了 Linux 内核的一部分。

与传统的 DAC（Discretionary Access Control）相比，SELinux 是更加严格的访问控制模式。在 DAC 中，用户可以控制自己创建的资源的访问权限，但在 SELinux 中，访问控制是由安全策略决定的。换句话说，SELinux 中的用户只能访问那些被安全策略允许的资源。

二、SELinux 的组成部分

SELinux 由以下三个部分组成：

1. 安全策略（security policy）：用于确定哪些进程可以访问系统和网络资源，以及这些进程可以访问哪些资源。

2. 强制访问控制（MAC）：在系统级别上进行访问控制，限制进程对资源的访问。默认情况下，Linux 系统是使用 DAC 进行访问控制的，而 SELinux 则是通过强制访问控制来提升系统的安全性。

3. 安全上下文（security context）：用于标识文件和进程的安全属性。每个文件和进程都有一个安全上下文，由安全策略决定其属性。

三、SELinux 的模式

SELinux 有三种模式：

1. Enforcing 模式（执行模式）：在这种模式下，SELinux 强制执行安全策略，并且限制用户和进程的访问，保护系统免受攻击。

2. Permissive 模式（宽容模式）：在这种模式下，SELinux 不会限制用户和进程的访问，但是会记录违反安全策略的事件。

3. Disabled 模式（禁用模式）：在这种模式下，SELinux 不会对用户和进程的访问进行任何控制，这也是默认的安全模式。

四、启用 SELinux

默认情况下，大多数 Linux 发行版都不启用 SELinux。如果要启用 SELinux，可以按照以下步骤：

1. 安装 SELinux 支持包：安装 SELinux 支持包，以支持 SELinux 的安装和配置。具体命令如下：

```bash
# CentOS/RHEL/Fedora
yum install policycoreutils selinux-policy-targeted

# Debian/Ubuntu
apt-get install selinux-basics selinux-policy-default
```

2. 配置 SELinux：配置 SELinux 策略并将其设置为执行模式。具体步骤如下：

```bash
# 设置 SELinux 为执行模式
setenforce 1

# 配置 SELinux
vi /etc/selinux/config

# 将 SELINUX=enforcing
SELINUX=enforcing

# 重启系统
reboot
```

五、总结

通过本文，您已经了解了 SELinux 的基础知识，以及如何在 Linux 系统上启用它来提高系统安全性。要注意的是，SELinux 的安装和配置需要谨慎进行，以确保系统的正常运行。