一直以來，Red Hat 系的許多教程，都會建議你關閉 SELinux。確實，啟用 SELinux 可能會造成許多莫名其妙的錯誤。但在實際生產環境，甚至是用戶工作站，Red Hat 都建議將 SELinux 設為 enforcing 模式，因為它在關鍵時候可以成為你系統安全的最后一道防線。

---

程序是不可信的

技術的發展日新月異，我們的系統安全卻不容樂觀。wooyun.org 時不時爆出的各種漏洞，都在提醒我們 程序總是存在缺陷的。

傳統的操作系統采用 DAC 機制，它針對用戶進行訪問控制，系統會信任用戶執行的所有程序，但往往用戶無法判斷程序是否存在安全問題。

后來，出現了 MAC 機制，它以進程為訪問控制的首要目標，通過規則嚴格限制程序運行時可以執行的系統調用。

另外，在保密級別較高的地方，根據資源的機密程度結合 MAC 又衍生出了 MLS 多級安全策略。

我們的主角 SELinux 是 MAC+MLS 的實現方案之一，它最初由 NSA 基于 flask 框架開發，目前主要由 Tresys 和 Red Hat 進行維護。

---

用戶與隱私

自 1987 年 9 月 20 日，CANET 向世界發出第一封 E-mail 為標志，互聯網正式進入中國大陸。截至 2015 年 6 月，我國網民已達到 6.68 億人。隨著網絡的發展，隱私與安全一直是大受關注的話題。現在，隨便什么應用/網站都需要注冊，各種客戶端都提供網絡連接功能。在不知不覺中，你的聯系人，朋友圈都展示在了網上?？梢载撠熑蔚恼f，在互聯網面前，我們每個人都沒有隱私。

保護個人隱私是一個系統工程。它需要可信的硬件/固件，可信的操作系統，可信的應用程序，可信的網絡環境，可信的用戶。

• 硬件方面：X86、Arm 體系就是事實的工業標準，但目前沒有可信的第三方機構進行評估。
• 系統方面：盡量使用開源操作系統，Open Source 可以確保系統沒有惡意行為。
  
  • 早在 1985 年，美國國防部公布了 可信計算機系統評估標準，該標準將計算機系統分為 A(A1), B(B3 B2 B1), C(C2 C1), D(D1) 四個等級，共7個級別。沒有 SELinux 的 Linux 和 Windows 一樣都處于 C2 級別。
• 應用程序：盡量使用開源軟件，閉源軟件或多或少都會侵犯用戶隱私。
• 網絡方面：盡量不訪問/注冊來歷不明的網站，盡量不使用公共 Wifi。事實上，個人無法控制運營商的行為。
• 用戶方面：用戶對于隱私保護有最重要的作用。俗話說得好，“機器是死的，人是活的“。只有用戶養成了良好的習慣，才能保護好隱私。切勿抱有”我的信息并沒有什么卵用“的僥幸心理。

---

SELinux 與隱私保護

SELinux 為系統提供了額外的一層保護，能夠在一定程度上防止隱私泄露。這里提一下基本概念， SELinux 是基于標簽的強制訪問控制系統。所有系統資源都包含標簽上下文，只有進程標簽符合訪問對象（文件/socket/dbus…）的標簽，才允許進程訪問該資源。而標簽又關聯了一系列角色（role），角色又關聯了一系列 SELinux user。通過將 SELinux user 與 Linux user 關聯，該用戶就具有了這些標簽。此時，用戶執行的程序就都處于這些標簽規則的限制范圍了。

在 Fedora 中，默認用戶關聯 unconfined_t 標簽，該標簽是無限制的，相當于未啟用 SELinux。這主要為了兼容性考慮，targeted 規則僅限制網絡相關應用。Red Hat 建議用戶關聯非 unconfined_t 標簽來提高安全性。

1.配置賬戶映射 SELinux user

$ sudo semanage login -a -s staff_u -r s0:c0.c1023 Jone

2.配置 sudo，指定需要轉換的 ROLE/TYPE

$ sudo echo "Jone ALL=(ALL) TYPE=unconfined_t ROLE=unconfined_r ALL" >> /etc/sudoers.d/Jone

3.對 home 目錄重新進行標記，并重啟

$ restorecon -R -v /home/Jone

4.現在你的登陸 shell 就是以 staff_u 用戶運行

$ id -Z staff_u:staff_r:staff_t:s0-s0:c0.c1023

5.如果你需要執行系統管理操作，可使用 sudo 進行提權，這和原來一模一樣

$ sudo id -Z staff_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

---

廣告

最后，插播廣告。Fedora 社區源正在使用 SELinux 加固軟件，目前已完成了 sogoupinyin。

安裝 sogoupinyin SELinux 模塊，禁止 sogou 訪問網絡：

$ sudo dnf install sogoupinyin sogoupinyin-selinux $ sudo setsebool -P sogou_access_network=0

---

參考

1.TCSEC, Trusted Computer System Evaluation Criteria
2.SELinux Project
3.原文: Fedora 安裝后需要做的第一件事

– EOF –

轉載于:https://www.cnblogs.com/lixuebin/p/10814854.html

總結

以上是生活随笔為你收集整理的Fedora 安装后需要做的第一件事的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。