1. 确保SELinux处于启用状态
SELinux(Security-Enhanced Linux)是CentOS实现强制访问控制(MAC)的核心组件,其上下文(Security Context)用于定义文件、目录和进程的安全属性。首先需确认SELinux已启用:使用sestatus命令查看状态(若返回Enforcing则表示启用);若处于Disabled,需编辑/etc/selinux/config文件将SELINUX=disabled改为SELINUX=enforcing,并重启系统使设置永久生效。临时启用可使用setenforce 1命令。
2. 正确查看与管理安全上下文
使用ls -Z命令查看文件/目录的当前上下文(如unconfined_u:object_r:httpd_sys_content_t:s0),包含用户、角色、类型和敏感度等级;使用ps auxZ查看进程的上下文。修改上下文时,优先使用restorecon命令恢复文件到默认上下文(如restorecon -Rv /var/www/html递归恢复Apache目录),避免误操作;若需临时修改(如测试),可使用chcon命令(如chcon -t httpd_sys_rw_content_t /var/www/html/test.txt设置读写权限)。
3. 合理配置SELinux布尔值
SELinux布尔值(Booleans)是控制特定安全策略的开关,可通过setsebool命令修改。例如,允许Apache访问用户家目录需执行setsebool -P httpd_enable_homedirs 1(-P表示永久生效);允许FTP匿名用户写入需执行setsebool -P allow_ftpd_anon_write 1。修改前需确认布尔值的用途(可通过getsebool -a查看所有布尔值),避免开启不必要的权限。
4. 使用semanage管理自定义上下文
对于需要长期保留的自定义上下文(如网站目录、FTP共享目录),使用semanage fcontext命令添加策略,再通过restorecon恢复。例如,为/data/web目录添加httpd_sys_content_t类型:semanage fcontext -a -t httpd_sys_content_t "/data/web(/.*)?",然后执行restorecon -Rv /data/web。此方法可避免系统更新后上下文丢失。
5. 分析与处理SELinux拒绝日志
当SELinux阻止进程访问资源时,会生成拒绝日志(位于/var/log/audit/audit.log)。使用ausearch命令过滤AVC(Access Vector Cache)拒绝事件:ausearch -m avc -ts recent;或使用aureport生成拒绝报告:aureport -m avc。通过audit2allow工具分析日志生成自定义策略模块(如grep "avc: denied" /var/log/audit/audit.log | audit2allow -M mypol),最后用semodule -i mypol.pp安装模块。注意:仅对确认安全的请求添加策略,避免过度放宽限制。
6. 定期审查与更新SELinux策略
SELinux策略需随系统环境和应用变化调整。定期使用semanage fcontext -l查看现有上下文规则,删除不再使用的规则;通过yum update policycoreutils-python-utils更新SELinux工具包,获取最新的策略修复。更新前需在测试环境中验证,避免影响生产系统。
7. 备份与恢复SELinux配置
在进行重大更改(如修改布尔值、添加自定义上下文)前,备份SELinux配置:cp -R /etc/selinux /etc/selinux.bak;备份上下文规则:semanage fcontext -l > /root/selinux_contexts.bak。若配置错误导致系统无法正常运行,可通过备份恢复:cp -R /etc/selinux.bak /etc/selinux,或重新标记文件系统(touch /.autorelabel后重启)。
8. 结合其他安全措施增强防护
SELinux上下文需与其他安全措施配合使用:配置防火墙(如firewalld)限制对服务器的访问(如仅允许80、443端口);禁用不必要的服务(如systemctl disable telnet)减少攻击面;定期更新系统(yum update)修复安全漏洞。这些措施可协同提升系统整体安全性。
