centosde 启动流程与安全加固selinux

时间 2019-11-06

原文原文链接

centos6启动流程

一、上电POST自检，加载BIOS的硬件信息，获取第一个启动设备
二、读取第一个启动设备MBR里的引导加载程序（grub）的启动信息
三、加载核心操做系统的核心信息，核心开始解压缩，并尝试驱动全部的硬件设备
四、核心执行init程序，并获取默认的运行信息
五、init程序执行/etc/rc.d/rc.sysinit文件
六、启动核心的外挂模块
七、init执行运行的各个批处理文件（scripts）
八、init执行/etc/rc.d/rc.local
九、执行/bin/login程序，等待一会登陆
十、登陆以后开始以shell控制主机

.如图所示

MBR(Master Boot Recorder)，

咱们称之为主引导记录。  
BIOS是怎样寻找可启动设备的呢？  
咱们知道在分区时，硬盘的第一块扇区512个字节就是存放的MBR，  
若是该设备是可启动设备，那么该扇区的最后两个字节确定是55/AA，  
因此此时在寻找可启动设备时，若是发现该设备的最后两个字节是这个，  
那么该设备就是可启动设备。
BIOS在找到可启动设备之后就会执行其引导代码，  
由于MBR占据了第一块扇区的512字节，分区表占用了 16*4=64字节，  
再加上最后两个标志字节，  
因此MBR的引导代码就是MBR的前446个字节，  
固然这446个字节过小了，并不能完成整个操做系统的引导程序，  
因此这446个字节里面可能存放的就是启动引导程序的一些代码。

GRUB

是引导加载程序，  
 将引导操做系统，启动引导器是计算机启动过程当中运行的第一个真正的软件，  
计算机启动时在经过BISO自检后读取并运行引导介质上最前面的扇区  
即硬盘主引导扇区(MBR)中的启动引导器程序，   
这里的扇区中：MBR占据了第一块扇区的512字节，  
但其实际只占用了其中的446个字节，  
另外的64个字节交给了DPT（Disk Partition Table硬盘分区表），  
最后两个字节“55，AA”是分区的结束标志。  
启动引导器在负责加载启动硬盘分区中的操做系统。  
若是启动引导器不能正常工做，将致使操做系统不能正常启动，  
从而整个计算机瘫痪。  
一般，每一个操做系统在安装过程当中都要将自带的启动器写在硬盘(MBR)，  
以便能过进行自身的 引导

自定义启动脚本，添加启动项中

安全加固selinux

selinux是⼀种安全策略机制。  
selinux有四种⼯做类型：
trict：在centos5中，每一个进程都受到selinux的控制；
targeted：用来保护常见的网络服务，仅有限进程受到selinux控制，centos5保护88个务；
minimunm：在centos7中修改targetd，只对选择的网络服务；
mls：提供MLS（多级安全）机制的安全性。
通常设置默认为targeted类型，不须要修改。  

selinux有三种⼯做状态：
enforce：强制，每一个受限的进程都必然受限；
permissive：容许，每一个受限的进程违规操做不会被禁止，但会被记录于审计日志；
disabled：禁用.  

# selinux  
安全标签 的说明  
安全标签又成安全上下文  
即content值：unconfined_u:object_r:httpd_sys_content_t:s0

安全上下⽂有五个元素组成，  
格式为：user:role:type:sensitivity:category   （⼀般category部分不显⽰，）  
unconfined_u：表明的是user位置，指示登陆系统的用户类型，如root,user_u,system_u,  
多数本地进程都属于自由（unconfined）进程；
 object_r：表明的是role位置，定义文件，进程和用户的用途：文件:object_r，  
 进程和用户： system_r；
 httpd_sys_content_t：表明的是type位置，指定数据类型，  
 规则中定义何种进程类型访问何种文件Target策略基于type实现,  
 多服务共用：public_content_t；
s0：表明的是sensitivity位置，限制访问的须要，  
由组织定义的分层安全级别，  
如unclassified, secret,top,secret, ⼀个对象有且只有⼀个sensitivity,  
分0-15级， s0最低,Target策略默认使⽤s0；  
Category：对于特定组织划分不分层的分类，  
如FBI Secret，NSA secret,   
一个对象能够有多个categroy，c0-c1023共1024个分类，  
Target 策略不使用ategory