LINUX ACL访问控制列表，SELINUX安全性基本总结

10、访问控制列表（ACL）
标准的linux文件权限可以满足绝大多数情况的要求，但它也有局限。限制访问文件的权限仅限授予文件的所有者，单组成员或其他任何人，进程可能不适合成为文件所属组成员，授予所有人权限是不现实的做法。
ACL允许向文件分配细化权限，除标准文件所有者组所有者和其他文件权限外，还可以向指定用户或指定组，以及UID及GUID确定的用户和组授予权限，这些权限均应用相同的权限标志r读取w写入x执行。
文件所有者可以在单个文件或目录上使用ACL，新文件和子目录可以从父级默认ACL中继承ACL权限，与常规文件的访问规则相似，父目录访问结构需要至少设置其他执行权限，以便启用制定用户和指定组的访问权限。
文件系统挂载选项
文件系统需挂载以启用的ACL支持，XFS文件系统内置有ACL支持。
Ls -l 查看和解释acl权限
如果十个字符组成的权限字符串的末尾是”+”,即表示文件有相关联的ACL设置，对于用户，组和其他的’rwx‘标志解释如下：
用户： 显示用户acl设置，与其标准用户文件设置相同；rwx。
组：实现当前acl掩码设置，而不是组所有者设置，rw。
其他：显示其他acl设置，其与标准文件设置相同，无访问权限。
如果使用chmod更改具有acl的文件的组权限，则不会更改组所有者权限，而是更改acl掩码，如果目的是更改文件组所有者的权限需要使用setfacl -m g::perms file
getfacl 查看文件acl
Setfacl 添加，修改或删除文件和目录的标准acl
Setfacl -m u:user：执行权限 file 修改指定用户对文件的访问权限
Setfacl -m g：group：执行权限 file 修改指定组对文件的访问权限
Setfacl -m o:：执行权限 file 修改指定其他对文件的访问权限
Chmod g+(-)执行权限 file 修改mask（acl掩码）值。
Default：m:：执行权限 file 修改默认掩码值
Setfacl -R -m 使用递归的方式将acl应用到目录结构的文件中
Setfacl -x 删除特定的acl条目
Setfacl -b 删除文件和目录的所有acl
setfacl -m d:u:user:执行权限 file 修改默认的acl权限。
Setfacl x d:u:user：执行权限 file 删除acl默认条目。
3、启用和监控SELINUX(security enhanced linux)
Selinux 安全的基本概念
Selinux是一个额外的系统安全层，它的主要目的是防止已遭泄露的系统服务访问用户数据，大多数linux用户都熟悉标准的用户/组/其他权限安全模型。这种基于用户和组的模型成为自由决定的访问控制，selinux提供另一层安全，他基于对象并有更加复杂的规则控制，称为强制访问控制。
要允许远程web访问服务器，必须打开防火墙端口，然而恶意人员却有办法通过安全漏洞侵入系统，而且如果他们破坏web服务进程，还会取得其权限。
Selinux是确定哪些进程哪些组可以访问哪些文件，目录，和端口的一组安全规则。每个进程和端口都具有特别的安全标签，成为selinux的上下文。Selinux策略使用它来确定某个进程能否访问文件，目录和端口。除非显示规则授予访问权限，否则，在默认情况下，策略不允许有任何交互，如果没有允许规则，则不允许访问。
Selinux有多种上下文：用户，角色，类型和敏感度。目标策略（linux启用的默认策略）会根据第三个上下文来指定自己的规则。类型上下文会以_t结尾。Web类型的上下文是httpd_t，通常位于/var/www/html中的文件和目录类型的上下文是httpd_sys_content_t。通常位于/tmp和/var/tmp中的文件类型上下文是tmp_t,web服务器端口的文件类型上下文是http_port_t。
许多处理文件的命令有一个用于显示或者设置selinux上下文的选项，通常是-Z，例如ps，ls，cp，和mkdir等
Selinux模式;
强制模式:selinux主动拒绝访问尝试读取类型上下文为tmp_t的文件的web服务器。在强制模式中，selinux不仅记录而且提供保护。
许可模式：通常用于对问题进行故障排错，在此模式中既没有显示规则，selinux也会允许所有交互，而且会记录她在强制模式中拒绝的那些交互，可使用此模式来暂时允许访问selinux的限制内容，无需重新启动即可在强制模式和允许模式之间转换。
禁用模式，会完全禁用selinux，需要彻底禁用selinux，或是从禁用模式转换为强制模式，或许可模式。
最好使用许可模式，而不是彻底关闭selinux，原因之一在于即使在许可模式中，内核也将根据需要自动维护selinux文件系统标签，从而避免为了启动selinux而重启系统时，重新标记系统所带来的昂贵费用。
Getenforce 显示当前使用有效的selinux模式。
Selinux 布尔值：是更改selinux策略的开关。Selinux布尔值是可以启动或禁用的规则。安全管理员是可以使用selinux布尔值来有选择地调整策略。
更改selinux的模式：
若处于故障排错目的，可使用selinux模式暂时禁用selinux保护。
Setenforce o 暂时修改为permissive许可模式
Setenforce 1 暂时修改为enforcing强制模式
设置默认的selinux模式：
Vim /etc/selinux/config
将SELINUX=permissive 修改为SELINUX=enforcing
：wq
Systemctl reboot
更改selinux上下文
Ls -Zd 查看查看当前目录的selinux上下文
通常文件父目录的上下文决定该文件初始的selinux上下文。父目录的上下文会分配给新建文件，适用于vim，cp，touch等文件，如果文件是在其他位置创建并权限得以保留如mv，cp -a 等，那么原始selinux上下文不会发生更改。
用chcon和restorecon，可以更改原始selinux上下文。Chcon将文件的上下文更改成已指定参数的上下文，chcon -t 只用于指定上下文类型。
Restorecon -v 是更改文件和目录的首选方法，不同于chcon，它不会明确指定上下文，它使用selinux策略来确定应该是那种文件的上下文。
更改selinux布尔值
Selinux布尔值是更改selinux策略行为的开关，selinux布尔值是可以禁用或启用的规则。安全管理员可以使用selinux布尔值来有选择的调整策略。
Getsebool -a 显示selinux布尔值
Setsebool 上下文 on/off 修改selinux布尔值
Setsebool -P 上下文 on/off 修改selinuxcelue，并永久保存
Semanage boolean -l 将会显示布尔值是否为永久值，并提供简短描述。
Semanage boolean -l -C 仅列出本地修改的selinux布尔值状态。