為什麼要關閉 SElinux呢？

前天在論壇看到高手寫的dedora普及教程 說是要 首先關閉selinux服務
我也不知道這個是什麼服務
今天上網查了下 大概是一個和安全有關的服務
網上說 關閉這個服務的Linux就合windows 的安全係數是一樣的了！

為什麼要關閉這個服務呢？下面是我在網上搜索的selinux 文章


一、SELinux簡介

RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大變化就在於集成了SELinux的支持。

SELinux的全稱是Security-Enhanced Linux，是由美國國家安全局NSA開發的訪問控制體制。

SELinux可以最大限度地保證Linux系統的安全。至於它的作用到底有多大，舉一個簡單的例子可以證明：

沒有SELinux保護的Linux的安全級別和Windows一樣，是C2級，但經過保護SELinux保護的Linux，安全級別

則可以達到B1級。如：我們把/tmp目錄下的所有文件和目錄許可權設置為0777，這樣在沒有SELinux保護的情

況下，任何人都可以訪問/tmp 下的內容。而在SELinux環境下，儘管目錄許可權允許你訪問/tmp下的內容，

但SELinux的安全策略會繼續檢查你是否可以訪問。

NSA推出的SELinux安全體系結構稱為 Flask，在這一結構中，安全性策略的邏輯和通用介面一起封裝在與

操作系統獨立的組件中，這個單獨的組件稱為安全伺服器。SELinux的安全伺服器定義了一種混合的安全性

策略，由類型實施 (TE)、基於角色的訪問控制 (RBAC) 和多級安全(MLS) 組成。通過替換安全伺服器，可

以支持不同的安全策略。SELinux使用策略配置語言定義安全策略，然後通過checkpolicy 編譯成二進位形

式，存儲在文件(如目標策略/etc/selinux/targeted/policy/policy.18)中，在內核引導時讀到內核空間

。這意味著安全性策略在每次系統引導時都會有所不同。

SELinux的策略分為兩種，一個是目標(targeted)策略，另一個是嚴格(strict)策略。有限策略僅針對部分

系統網路服務和進程執行SELinux策略，而嚴厲策略是執行全局的NSA默認策略。有限策略模式下，9個（可

能更多）系統服務受SELinux監控，幾乎所有的網路服務都受控。

配置文件是/etc/selinux/config，一般測試過程中使用「permissive」模式，這樣僅會在違反SELinux規

則時發出警告，然後修改規則，最後由用戶覺得是否執行嚴格「enforcing」的策略，禁止違反規則策略的

行為。

規則決定SELinux的工作行為和方式，策略決定具體的安全細節如文件系統，文件一致性。



在安裝過程中，可以選擇「激活」、「警告」或者「關閉」SELinux。默認設置為「激活」。

安裝之後，可以在「應用程序」-->「系統設置」-->「安全級別」，或者直接在控制台窗口輸入「system

-config- securitylevel」來打開「安全級別」設置窗口。在「SELinux」選項頁中，我們不但可以設置「

啟用」或者「禁用」SELinux，而且還可以對已經內置的SELinux策略進行修改。

SELinux相關命令：

ls -Z

ps -Z

id -Z

分別可以看到文件,進程和用戶的SELinux屬性。

chcon 改變文件的SELinux屬性。

getenforce/setenforce查看和設置SELinux的當前工作模式。

修改配置文件/etc/selinux/config后，需要重啟系統來啟動SELinux新的工作模式。



二、案例分析

Apache - "Document root must be a directory" 問題？

有可能和這個問題併發的問題還有 403 Forbidden　禁止訪問的問題。

現象描述：

不使用系統默認的 /var/www/html作為系統的Document Root，自己新建一個目錄后修改

/etc/httpd/conf/httpd.conf 中的配置，然後重起Apache的Daemon，發現Apache無法起動，系統報錯：

　　Document root must be a directory

但是，我們設置的DocumentRoot 的確是一個目錄，而且apache用戶具有可讀許可權。

另一種情況：新建一個虛擬目錄或文件后，無法訪問，顯示 Forbidden, 403 Error，但文件或目錄有可讀

許可權。

問題產生的原因：

一開始想來想去想不出為什麼，但是給我感覺是許可權的問題，用傳統的Linux的思維方式來看，許可權絕對沒

有問題。但是仔細一想，SELinux是不是會有其他安全的設定？

檢查 avcmessage，查看 /var/log/messages文件，發現有類似以下內容的這樣一段：

Dec 24 17:54:59 hostname kernel: audit(1098222899.827:0): avc:

denied{ getattr } forpid=19029 exe=/usr/sbin/httpd

path=/var/www/html/about.html dev=dm-0 ino=373900

scontext=root:system_r:httpd_t tcontext=user_u:object_r:user_home_t

tclass=file

嘿嘿，問題找到了，果然是SELinux的新特性搞的鬼。我把目錄或文件設成了user_home_t類型，因此

apache的進程沒有許可權，無法訪問。針對Apache的進程所使用的SELinux target policy規定了apache的進

程只能訪問httpd_sys_content_t類型的目錄或文件。

解決辦法：

很簡單，把目錄或文件的策略類型改成 httpd_sys_content_t 就可以了。

# chcon -t httpd_sys_content_t [file_name | dir_name]

然後可以用 ls -laZ 命令查看文件目錄的策略類型。(T002)

Tags: linux system 系統