selinux对文件的控制

selinux模式
 selinux（安全增强型linux）是可保护系统安全性的额外机制。
 在某种程度上，他可以被看作是与标准权限系统并行的权限系统。在常规模式中，以用户身份运行进程，并且系统上的文件和其他资源都设置了权限（控制哪些用户对哪些文件具有访问权）selinux的另外一个不同之处在于，若要访问文件，你必须具有普通访问权限和selinux访问权限。因此，即使以超级用户身份root运行进程，根据进程以及文件或资源的selinux安全性上下文可能拒绝访问文件或资源
 
显示及更改selinux模式
 vim /etc/sysconfig/selinux
  disable:关闭
  enforcing：强制
  permissive：警告
 
 disable状态切换到enforcing或permissive状态需要重启系统
 getenforce  ##显示selinux模式
 setenforce 0|1  ##更改selinux模式
  0：表示permissive ##警告模式
  1：表示enforcing  ##强制模式
 
显示进程和文件的selinux上下文(-Z通常用于显示或设置selinux上下文)
 ps axuZ | grep vsftpd
 
 
测试： 
 touch file
 mv file /var/ftp/pub/
 1)enforcing模式
 ls ##看不到从别处移过来的文件
 
 2)permissive模式
 ls ##可以看到从别处移过来的文件
 
 ls -Z  ##查看文件selinux上下文，本地文件和别处移过来的文件的selinux上下文是不一样的
 
 chcon -t public_content_t /var/ftp/pub/file ##更改file的selinux上下文，与本地文件一样，此时即使在enforcing模式下也可以看到从别处移过来的文件