8、安全防护/17、尚硅谷-Linux云计算-安全- SeLinux/59、尚硅谷-Linux云计算-安全防御 - 安全上下文

大家好。欢迎大家继续收看上硅谷的Linux云计算视频。我是白阳老师。上节课呢，给大家讲了一些SX的发展史，对吧，包括我们的安全评级的这么一个等级状态，CR级别，对吧，包括我们的snux的相关原理。那这节课呢，我们就会去讲一下我们所谓的这个规则库了。其实我们在很多情况下，我们都会讲它SC是一套。基于我们的令牌。的访问控制，怎么去理解这句话呢？这个比较抽象到我们的生活里对吧？那举个例子，比如大家都看过一些古装戏。那有些将军在出城的时候，是不是会啪手上套出来一个令牌？放我出去。我要干嘛干嘛干嘛去，对吧，那么城上的那些人呢，会观察这个令牌跟他手里的令牌是否一致，如果匹配成功以后，是不是才把城门打开，否则的话是不是直接把他给砸死了，对吧。

那这呢，就是我们所谓的令牌访问控制，对于I也是一样的。主体要讲访问课题，必须要掏出一套自己的命牌。令牌匹配成功以后才允许访问，否则不允许访问。那其实在SX里面，它的官方名词不叫令牌，而是叫安全上下文。那接下来我们去看一下什么叫安全上下文。这里呢，有一句话去描述我们所谓的安全上下文。所有的操作系统访问控制都是以关联的客体主体某种类型的访问控制属性为基础的。也就意味着还是那句话对吧，客体主体中间规则库。在S06室中访问控制的属性加安全上下文所有的客体，比如是一个文件进程，通讯通道，套接制主机，网络主机对吧和主体进程。也就是这里面是资源，这是要求资源的一方都有与之相关联的安全上下文。

安全上文有三个部分组成，用户角色类型、标识符。那就是我们的用户角色和类型。这里面需要注意一下。只要在我们的传统的IC里，或者开启的是我们类型强制的话，那只要类型一致即可，用户和角色是可以不考虑的。需要大家注意一下这么一个概念。那接下来呢，我们就是以实验为基础，因为这个软件也没什么好说的，对吧，大量的实验与基础。那给大家看一个效果对吧，这也是之前的一些同学可能会遇到的这么一个情况。重新打开服务器。

打开成功以后呢，我们因为我们这里已经把s news给关闭了，需要大家注意一下，如果你是在ETC下的s news下了con菲里面配置的s news关闭的话。它是相当于把我们在开启的时候，把这个模块从内核中给摘出去了，临时屏蔽了。那所以如果我们要想现在开启的话，通过我们的命令直接开启是开启不成功的，我们必须要修改我们的ETC下的inux下的con菲它的命令配置文件才可以。在这个会议的文件中呢，我们会发现这么两个选项，对吧，我们之前也一直没有介绍过，我们在这里给大家详细看一下。首先第一个nux。它会有三个选项，第一个forcing permisive disable。

Enforce的就是开启。第二个呢，就是我们所谓的叫做特权模式。或者警告模式吧，比较容易去理解，那这个怎么理解呢？如果出现对应的错误的时候，他会给我，给我提示，但不会拒绝。相当于，哎，现在很危险哈，但是你该组还是可以做的，Disable呢，就是关闭对吧，那下一个是snu式的类型。一金属类型和我们的多类型匹配墙纸。技术类型里面呢，我们就基本上能够把。常见的进程都已经涵盖到了。大概有几百个不同的选项。常见的服务都能涵盖到那多类型强制里面呢，会有更多的一些选项，对吧，当然这是肯定的。那基本上如果开启的话。我们的基础类型也足够我们用了啊。那在这里呢？我们把disable给改成我们的forcing。那还是那句话对吧，那如果改完以后，我们需要去重启生效，这里可不能通过对应的命令把它给打开，需要重启生效。

并且你会发现这里的启动会非常之慢，因为它需要把这个模块再加载入我们的内核之中。在这里我们稍等一会。

这里呢，我们已经发现它已经启动成功了，对吧，我们通过命令叫get。这里写的是forcing，代表我们已经启动成功了，对吧？当然我们还有对应的命令，比如sit force，零代表什么？关闭对吧？一呢，代表开启。当然这里需要注意一下，这只是临时的一个控制，对吧？如果永久生效的话，还需要在我们的ETC下的S06时下的卡菲配置文件中去生效。那现在我们的s news已经开启了，对吧？给大家演示一个实验，首先开启我们的web服务器。开启自启对吧。

然后我们去写一个网站。那接着我们c local house，我们去访问一下123没问题对吧。这时候呢，我们可以通过浏览器访问一下，因为等会我们想看一下它的一个设置，对吧，123。发现已经正常了，对吧。这样的话，我现在做一件事情。首先，我们在根目录下创建一个3W目录。然后我再到ETC下的HTP下的康复下的htp.com。

我们往下翻。我们去找到我们的默认目录对吧。直接收吧，Document。我们现在在跟下了3W目录，以及底下的一个权限。好，那这样的话，我是不是就现在把我们的默认的主页改到了更下了3W，这个很好理解对吧，我们重启一下服务，让它生效。那现在我同理，我向里面去写入一个网站。我们写到3W目录下。好，为了防止我们的权限出现意外的话，我直接给他777听清楚我的意思了，那这样的话肯定是没问题的，对吧，权限这方面是肯定是没问题的。那接下来我们就重新访问一下，我们看一下效果。

看到了吗？结果到了我们的阿帕奇主页，这个主页是什么含义啊？它会什么时候存在？只有当我们找不到主页的时候，它是不是才会存在？问题又来了，我刚才是不是已经在我们的3W目录下写了这么一个网页文件了，并且为它赋予了权限？777，不可能存在文件不在或权限不对的问题。那只有什么。就是Linux在作祟。那既然是S6的话，我们可以简单尝试一下，对吧，我们现在把S临时关闭，我们改为零。好，那我们再过来访问，我们看一下。能正常了对吧，那我现在再把它改为一开启。是不是就这样了？这个呢，就是我们说的I的访问控制了。原因是什么？怎么去查看我们当前的所谓的叫做什么角色？用户角色和类型呢，那就是LL杠大Z。你会发现这里多了一些关键字，对吧，就是中间这么一行。

用户角色类型。如果是我们的类型匹配的话，类型必须一致，后面是一个它系统给他给定的这么一个等级，权重等级不需要我们去管理。好，那现在我们看一下默认的。下的3W下的HTML，这是我们的阿帕奇默认目录对吧，我们看一下它的。角色按类型。好，那我们看一下阿帕奇默认的。用户角色类型类型是他对吧，那我们再看一下我们自己创建的。Difficult。那这里你就可以发现了，对吧？他们的类型是不一致的，那怎么样才能让它生效呢？那我是不是只要把类型改成我们的阿帕奇默认的类型是不是就即可了。

那怎么去设置呢？我们在这里会出现一个新的用户命令，叫con。这个就是更改我们的S6的用户角色类型的这么一个配置文件。应该叫命令对吧，好。杠R叫递归，杠T指定的是我们的类型，杠U指定的是我们的用户，杠R指定的是我们的角色，后面跟上我们的文件。那就意味着我现在应该怎么做啊，是不是就跟上我们的杠T即可，那我过来做一下ch con。杠T指定的是我们的HTP默认的这么一个。类型。给他谁啊，杠大递归一下对吧，给他的是跟下的3W。那现在先确定一下，我们的IC6是开启的。Get on force。Forcing开启的，对吧，那么现在再过来访问，我们刷新123。这样是不是就把我们的这个网页怎么既开启SX，又怎么能够造成这样呢，访问正常呢，对吧，就这么去做，只要他们的类型一致即可。

你说这个乱七八糟的一个类型，我怎么知道是啥。那如果他给我们的演示目录的话，那你就按演示目录去做，那一般像这种我们的比如阿帕奇啊，这种类类似的一些应用程序，它在官方的说明文档里也会告诉你，那如果再没有的话，那你只能查询inux的官方文档详细手册，那里面是可以找到的，需要大家注意一下。那这个呢，就是我们怎么去更改我们的类型，达到我们既开启snux，又能让我们的网站访问正常。那这样也可以给大家解释一下，为什么说很多公司不用，或者哪怕对吧，中国银行数据中心都没有在采用的原因，原因是什么呢？举个例子。那我们很多网站上是不是都会有一些上传操作，让你去上传一些用户啊，上传一些图片啊，上传一些视频啊，对吧，你上传完了，其实他是不是就会把文件放在对应的更下了3W目录。

有没有想过这个问题？那也就意味着跟下3W目录会出现一个新文件。那新文件跟我们的原文件它的类型是一样的吗？不一样。不一样。那既然是不一样的话，就会带来一个问题，那不一样是不是就会出现错误啊，我不允许你使用啊。那你那你会来了一句对吧，那不很简单吗？我直接写个脚本杠啊递归呗。递归是非常消耗资源的一件事情，这个在我们的大环境中，但大子文件中一定一定要慎用。之前是不是有个。同学去做了一个脚本，就是定，就是循环的去递归某个目录的权限，甚至会造成CPU不死的原因。它是消耗非常消耗资源大的这么一件事情干，虽然我们在这里就一个文件对吧，看我们动不动就递归了，那如果这里有上亿个子文件的话，它递归是非常之慢。

所以在生态环境中不可能经常去递归，是一定不存在的。那也就意味着我们对这种子文件是不是没有太好的办法去处理，所以在大部分的情况下，我们都不会去开启S060的权限访问控制，这里需要注意一下。那当然，如果，如果我现在不想想把我们的I6给关闭了，我想把这些设置给还原怎么办呢？用到命令叫。Re to con就还原我们之前的一个配置，杠R递归操作，对吧？杠V显示我们的还原过程，那我们可以看一下。那这样的话，你会看到它是默认还原到了我们的。Default t。也就是我们之前设置的这么一个类型上，对吧，那我现在再访问肯定是又被拒绝了，类型不一致了，对吧，那这个呢，就是我们的ICU的。安全上下文的相关配置，以及它的修改类型的方式，以及加上我们这么一个实验，对吧，相信已经很好的给大家讲解了IC的技术操作。

好，那这节课我们就先讲到这里。再见。