當你考慮在服務器上使用SELinux時，了解一些基本命令和管理工具會有所幫助。本文是三本SELinux教程的一部分，在這里，我們將提供一些命令來幫助你確保Linux服務器的安全。

除了這些新的SELinux命令，一些內(nèi)置的Linux命令，如cp、mv、ls和ps，都隨著SELinux的啟動變成使用–Z標記。標識符命令也被修改來顯示連同用戶默認安全屬性的用戶安全環(huán)境。

SELinux配置決竅

除了Linux服務器上文件和單獨流程的安全環(huán)境，SELinux還有更多安全功能。在這篇文章中涵蓋所有SELinux功能和基本的安全模式幾乎是不可能的，但這里我會強調(diào)關鍵的那些。

端口管理：你可以通過SELinux管理對系統(tǒng)端口的訪問。默認情況下，SELinux允許應用訪問默認端口(如ssh可訪問端口22)，不過一旦禁用SELinux，你也可以重新配置任一應用來訪問任一非默認端口。

為了得到SELinux管理端口的完整清單，你可以使用以下命令：

#/home/root>semanage port –l
將ssh的訪問端口從22改成24
#/home/root> semanage port –a –t ssh_port_t –p tcp 24

然后重啟ssh相關的服務。

用戶管理：有了SELinux嚴格用戶管理功能的幫助，你可以讓你的服務器“確實難以攻破”。它們可以在任一SELinux政策中擔任重要角色。但在目標政策中(默認的SELinux政策)，每個域運行一個單一角色且TE用來從其它流程中分離出受限的流程。

因此，在目標SELinux政策中，流程和對象問題以system_u的形式出現(xiàn)，而所有的默認Linux用戶是user_u，就像下面顯示的：

但在嚴格政策中，一些系統(tǒng)帳戶可以運行在普通的、無特權的user_u身份下，而其它帳戶可以在政策數(shù)據(jù)庫中有直接身份。

自定義政策模塊(Customized Policy Modules)：有時候我們在在建立SELinux時面對的情況是政策和布爾運算條件可能不足。在這種情況下，我們可以利用audit2allow命令來定義我們的自定義SELinux政策。舉例來說，如果否定錯誤登入到所有ftp相關服務的審計日志中，我們可以用以下句子來形成我們的自定義SELinux政策模塊：

#/home/root> # grep ftpd_t /var/log/audit/audit.log | audit2allow -M ftplocal

這個自定義ftp相關政策模塊之后可以如下方式下載到現(xiàn)有的SELinux目標政策：

#/home/root> semodule –i ftplocal

由于SELinux缺乏文檔編制和技巧，很多管理員都忽略了它。但是有默認目標政策的SELinux模式對很多管理員來說都是一個安全的起始點。如果你準備測試它，我建議先運行幾天，觀察所有錯誤和警告的日志，如果沒有錯誤，切換到執(zhí)行模式。

如果你正運行一些特定的數(shù)據(jù)庫或應用(如MySql或Oracle)，也要注意，在服務器上執(zhí)行SELinux政策之前，你應該為SELinux相關指令查看特定版本的文檔編制。

原文鏈接：http://www.searchsv.com.cn/showcontent_45458.htm

【編輯推薦】

1. RHEL 5上的SELinux配置
2. SELinux簡介：Linux內(nèi)核安全
3. SELinux實例：使用安全增強的Linux