centosde啟動(dòng)流程與安全加固selinux是怎樣的

centosde啟動(dòng)流程與安全加固selinux是怎樣的，相信很多沒有經(jīng)驗(yàn)的人對(duì)此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

centos6啟動(dòng)流程

1、上電POST自檢，加載BIOS的硬件信息，獲取第一個(gè)啟動(dòng)設(shè)備
2、讀取第一個(gè)啟動(dòng)設(shè)備MBR里的引導(dǎo)加載程序（grub）的啟動(dòng)信息
3、加載核心操作系統(tǒng)的核心信息，核心開始解壓縮，并嘗試驅(qū)動(dòng)所有的硬件設(shè)備
4、核心執(zhí)行init程序，并獲取默認(rèn)的運(yùn)行信息
5、init程序執(zhí)行/etc/rc.d/rc.sysinit文件
6、啟動(dòng)核心的外掛模塊
7、init執(zhí)行運(yùn)行的各個(gè)批處理文件（scripts）
8、init執(zhí)行/etc/rc.d/rc.local
9、執(zhí)行/bin/login程序，等待一會(huì)登錄
10、登錄之后開始以shell控制主機(jī)

.如圖所示

MBR(Master Boot Recorder)，

我們稱之為主引導(dǎo)記錄。  
BIOS是怎樣尋找可啟動(dòng)設(shè)備的呢？  
我們知道在分區(qū)時(shí)，硬盤的第一塊扇區(qū)512個(gè)字節(jié)就是存放的MBR，  
如果該設(shè)備是可啟動(dòng)設(shè)備，那么該扇區(qū)的最后兩個(gè)字節(jié)肯定是55/AA，  
所以此時(shí)在尋找可啟動(dòng)設(shè)備時(shí)，如果發(fā)現(xiàn)該設(shè)備的最后兩個(gè)字節(jié)是這個(gè)，  
那么該設(shè)備就是可啟動(dòng)設(shè)備。
BIOS在找到可啟動(dòng)設(shè)備以后就會(huì)執(zhí)行其引導(dǎo)代碼，  
因?yàn)镸BR占據(jù)了第一塊扇區(qū)的512字節(jié)，分區(qū)表占用了 16*4=64字節(jié)，  
再加上最后兩個(gè)標(biāo)志字節(jié)，  
所以MBR的引導(dǎo)代碼就是MBR的前446個(gè)字節(jié)，  
當(dāng)然這446個(gè)字節(jié)太小了，并不能完成整個(gè)操作系統(tǒng)的引導(dǎo)程序，  
所以這446個(gè)字節(jié)里面可能存放的就是啟動(dòng)引導(dǎo)程序的一些代碼。

GRUB

 是引導(dǎo)加載程序，  
 將引導(dǎo)操作系統(tǒng)，啟動(dòng)引導(dǎo)器是計(jì)算機(jī)啟動(dòng)過程中運(yùn)行的第一個(gè)真正的軟件，  
計(jì)算機(jī)啟動(dòng)時(shí)在通過BISO自檢后讀取并運(yùn)行引導(dǎo)介質(zhì)上最前面的扇區(qū)  
即硬盤主引導(dǎo)扇區(qū)(MBR)中的啟動(dòng)引導(dǎo)器程序，   
這里的扇區(qū)中：MBR占據(jù)了第一塊扇區(qū)的512字節(jié)，  
但其實(shí)際只占用了其中的446個(gè)字節(jié)，  
另外的64個(gè)字節(jié)交給了DPT（Disk Partition Table硬盤分區(qū)表），  
最后兩個(gè)字節(jié)“55，AA”是分區(qū)的結(jié)束標(biāo)志。  
啟動(dòng)引導(dǎo)器在負(fù)責(zé)加載啟動(dòng)硬盤分區(qū)中的操作系統(tǒng)。  
如果啟動(dòng)引導(dǎo)器不能正常工作，將導(dǎo)致操作系統(tǒng)不能正常啟動(dòng)，  
從而整個(gè)計(jì)算機(jī)癱瘓。  
通常，每個(gè)操作系統(tǒng)在安裝過程中都要將自帶的啟動(dòng)器寫在硬盤(MBR)，  
以便能過進(jìn)行自身的 引導(dǎo)

自定義啟動(dòng)腳本，添加啟動(dòng)項(xiàng)中

安全加固selinux

selinux是?種安全策略機(jī)制。  
selinux有四種?作類型：
trict：在centos5中，每個(gè)進(jìn)程都受到selinux的控制；
targeted：用來保護(hù)常見的網(wǎng)絡(luò)服務(wù)，僅有限進(jìn)程受到selinux控制，centos5保護(hù)88個(gè)務(wù)；
minimunm：在centos7中修改targetd，只對(duì)選擇的網(wǎng)絡(luò)服務(wù)；
mls：提供MLS（多級(jí)安全）機(jī)制的安全性。
一般設(shè)置默認(rèn)為targeted類型，不需要修改。  

selinux有三種?作狀態(tài)：
enforce：強(qiáng)制，每個(gè)受限的進(jìn)程都必然受限；
permissive：允許，每個(gè)受限的進(jìn)程違規(guī)操作不會(huì)被禁止，但會(huì)被記錄于審計(jì)日志；
disabled：禁用.  

# selinux  
安全標(biāo)簽 的說明  
安全標(biāo)簽又成安全上下文  
即content值：unconfined_u:object_r:httpd_sys_content_t:s0

安全上下?有五個(gè)元素組成，  
格式為：user:role:type:sensitivity:category   （?般category部分不顯?，）  
unconfined_u：代表的是user位置，指示登錄系統(tǒng)的用戶類型，如root,user_u,system_u,  
多數(shù)本地進(jìn)程都屬于自由（unconfined）進(jìn)程；
 object_r：代表的是role位置，定義文件，進(jìn)程和用戶的用途：文件:object_r，  
 進(jìn)程和用戶： system_r；
 httpd_sys_content_t：代表的是type位置，指定數(shù)據(jù)類型，  
 規(guī)則中定義何種進(jìn)程類型訪問何種文件Target策略基于type實(shí)現(xiàn),  
 多服務(wù)共用：public_content_t；
s0：代表的是sensitivity位置，限制訪問的需要，  
由組織定義的分層安全級(jí)別，  
如unclassified, secret,top,secret, ?個(gè)對(duì)象有且只有?個(gè)sensitivity,  
分0-15級(jí)， s0最低,Target策略默認(rèn)使?s0；  
Category：對(duì)于特定組織劃分不分層的分類，  
如FBI Secret，NSA secret,   
一個(gè)對(duì)象可以有多個(gè)categroy，c0-c1023共1024個(gè)分類，  
Target 策略不使用ategory

看完上述內(nèi)容，你們掌握centosde啟動(dòng)流程與安全加固selinux是怎樣的的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！