Linux_25 SELinux及systemd新特性

目录

• SELinux
• Systemd新特性

SELinux

SELinux:Secure Enhanced Linux,工作于Linux内核中

DAC：自主访问控制；
MAC：强制访问控制；

SELinux右两种工作级别：
	strict:每个进程都受到selinux的控制；
	targeted:仅有限个进程收到selinux控制；
		只监控容易被入侵的进程；
	
	sanbox
	
	subject operation object
		
		subject:进程
		object：进程，文件
			文件：open,read,write,close,chown,chmod
		
		subject:domain
		object:type
		
	SELinux为每个文件提供了安全标签，也为进程提供了安全标签；
		user:role:type
			user:SELinux的user;
			role:角色；
			type：类型

配置SELinux:
	SELinux是否启用；
	给文件重新打标；
	设定某些布尔型特性；
	
	SELinux的状态：
		enforcing：强制，每个受限的进程都必然受限；
		permissive：启用，每个受限的进程违规操作不会被禁止，但会被记录于审计日志；
		disabled：关闭；
		
		相关命令：
			getenforce:获取selinux当前状态；
			setenforce 0|1
				0:设置为permissive
				1:设置为enforcing
			
			此设定：重启系统后无效；
			
			配置文件：/etc/sysconfig/selinux,/etc/selinux/config
				SELINUX={disabled|enforcing|permissive}

	chcon - change file SELinux security context
    chcon [OPTION]... CONTEXT FILE...
    chcon [OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE...
    chcon [OPTION]... --reference=RFILE FILE...
    
    -R：递归打标签：
    
    eg:# 图1

还原文件的默认标签：
	restorecon [-R] /path/to/somewhere
	
布尔型规则：
	getsebool
	setsebool
	
	getsebool命令：
		getsebool命令：
			getsebool [-a] [boolean]
		setsebool命令：
			setsebool [-P] boolean value | bool1=val1 bool2=val2 ...
			
	

图1：

Systemd新特性

新特性：
	系统引导时实现服务并行启动；
	按需激活进程；
	系统状态快照；
	基于依赖关系定义服务控制逻辑；
核心概念：unit
	unit由其相关配置文件进行标识、识别和配置；文件中主要包含了系统服务、监听的socket、保存的快照以及其它与init相关的信息；这些配置文件主要保存在：
		/usr/lib/systemd/system
		/run/systemd/system
		/etc/systemd/system
	
unit常见类型：
	Service  unit:文件扩展名为.service，用于定义系统服务；
	Target unit：文件扩展为.target,用于模拟实现“运行级别”；
	Device unit：.device,用于定义内核识别的设备；
	Mount unit:.mount,定义文件系统挂载点；
	Socket unit:.socket,用于标识进程间通信用到的socket文件；
	Snapshot unit:.snapshot,管理系统快照；
	Swap unit:.swap，用于标识swap设备；
	Automount unit:.automount,文件系统自动点设备；
	Path unit:.path,用于定义文件系统中的一文件或目录；

关键特性：
	基于socket的激活机制：socket与程序分离；
	基于bus的激活机制；
	基于device的激活机制；
	基于Path的激活机制；
	系统快照：保存个unit的当前状态信息于持久存储设备中；
	向后兼容sysv init脚本；
		/etc/init.d/
不兼容：
	systemctl 的命令是固定不变的；
	非由systemd启动的服务，systemctl无法与之通信；

管理系统服务：
	CentOS7 :service 类型的unit文件；
	
		systemctl 命令：
			-Control the systemd system and service manager
			systemctl [OPTIONS...] COMMAND [NAME...]
			
				启动：service NAME start ===>systemctl start NAME.service
				停止：service NAME stop ===>systemctl stop NAME.service
				重启：service NAME restart ===>systemctl restart NAME.service	
				状态：service NAME status ===>systemctl status NAME.service
				条件式重启：service NAME condrestart ===>systemctl try-restart NAME.service
				重载或重启服务：systemctl reload-or-try-restart NAME.service
				
				查看某服务当前激活与否的状态：systemctl is-active NAME.service
				查看所有已激活的服务：systemctl list-units --type service
				查看所有服务（已激活及未激活）：systemctl list-units -t service --all # 或-a
				设置服务开机自启：chkconfig NAME on ==>systemctl enable NAME.service 
				禁止服务开机自启：chkconfig NAME off ==> systemctl disable NAME.service
				查看某服务是否能开机自启：chkconfig --list NAME ==>systemctl is-enabled NAME.service
				禁止某服务设定为开机自启：systemctl mask NAME.service
				取消此禁止：systemctl unmask NAME.service
				查看服务的依赖关系：systemctl list-dependencies NAME.service
	管理target unit：
		运行级别：
			0==>runlevel0.target,poweroff.target
			1==>runlevel1.target,rescue.target
			2==>runlevel2.target,multi-user.target
			3==>runlevel3.target,multi-user.target
			4==>runlevel4.target,multi-user.target
			5==>runlevel5.target,graphical.target
			6==>runlevel6.tart,reboot.target
		
		级别切换：init N ==>systemctl isolate NAME.target
		查看级别：runlevel ==>systemctl list-units --type target
		查看所有级别：systemctl list-units -t target -a
		
		获取默认运行级别：systemctl get-default
		修改默认运行级别：systemctl set-default NAME.target
		
		切换至紧急救援模式：systemctl rescue
		切换至emergency模式：systemctl emergency
	其它常用命令：
		关机：systemctl halt,systemctl poweroff
		重启：systemctl reboot
		挂起：systemctl hibernate
		快照并挂起：systemctl hybrid-sleep

	service unit file: # /usr/lib/systemd/system/httpd.service为例
		文件通常由三部分组成：
			[Unit]:定义与Unit类型无关的通用选项；用于提供unit的描述信息、unit行为及依赖关系等；
			[Service]:与特定类型相关的专用选项；此处为Service类型；
			[Install]:定义由“systemctl enable”以及"systemctl disable"命令在实现服务启用或禁用时用到的一些选项；
		Unit段的常用选项：
			Description:描述信息；意义性描述；
			After:定义unit的启动次序；表示当前unit应该晚于哪些unit启动；其功能与Before相反；
			Requires:依赖到其它units；强依赖，被依赖的units无法激活时，当前unit即无法激活；
			Wants:依赖到的其它units；弱依赖；
			Conflicts:定义units间的冲突关系；
		
		Service段的常用选项：
			Type:用于定义影响ExecStart及相关参数的功能的unit进程启动类型；
				类型：
					simple:
					forking:
					oneshot:
					dbus:
					notify:
					idle:
			ExecStart:指明启动unit要运行命令或脚本；ExecStartPre,ExecStartPost
			ExecStop:指明停止unit要运行的命令或脚本；
			Restart：
		
		Install段的常用选项：
			Alias:当前unit的别名
			RequiredBy:被哪些units所依赖；
			WantedBy:被哪些units所依赖；
			
	注意：对于新创建的unit文件或修改了的unit文件，要通知systemd重载此配置文件；
		# systemctl daemon-reload