SELinux 管理
学习 SELinux 如何通过模式、文件上下文(file contexts)、布尔值(booleans)、恢复操作以及拒绝排查,在 Linux 系统上实施强制访问控制。本课程将为你提供企业级 Linux 环境中最重要安全层之一的实践入门。
为什么这很重要
当服务无法访问文件或绑定端口时,SELinux 往往会被“背锅”,但直接禁用它绝非明智之举。运维人员需要理解 SELinux 标签、策略和布尔值如何影响系统行为,从而在不削弱安全性的前提下解决访问问题。这些技能在生产系统中尤为重要,因为策略强制执行是平台安全基线的一部分。
你将学到什么
- 理解 SELinux 模式,以及强制(enforcing)、宽容(permissive)和禁用(disabled)状态的含义。
- 作为策略感知管理的一部分,检查并管理文件上下文。
- 当标签偏离策略默认值时,恢复预期的上下文。
- 管理 SELinux 布尔值,以安全地调整允许的行为。
- 调查拒绝访问的消息,而不是盲目地绕过安全控制。
- 在自定义端口服务挑战中应用这些技能。
课程路线图
本课程从 SELinux 模式开始,让你了解策略强制执行如何改变系统行为。随后进入文件上下文部分,这是 SELinux 决定服务或进程被允许访问哪些资源的核心。
接下来,课程将涵盖恢复上下文的操作,以便将标记错误的文件恢复到预期的策略状态。之后,你将学习使用 SELinux 布尔值,它为调整常见服务和场景下的策略行为提供了受控方式。
最后的实验重点在于排查拒绝访问的问题,帮助你解读 SELinux 拦截操作的原因,而不是将强制执行视为一种“玄学”。课程最后是“自定义端口服务”挑战,你将在一个真实的配置任务中综合运用端口、标签和策略逻辑。
课程受众
本课程适合 Linux 学习者和使用企业级系统的管理员,他们需要管理 SELinux,而不是依赖不安全的捷径。
学习成果
学完本课程后,你将能够以更规范、更符合生产安全要求的方式检查 SELinux 状态、纠正常见的标签问题、通过布尔值调整行为,并排查策略拒绝访问的问题。
