selinux的配置

   SELinux提供了一种灵活的强制访问控制(MAC)系统，且内嵌于Linux Kernel中。SELinux定义了系统中每个用户、进程、应用和文件的访问和转变的权限，然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互，安全策略指定如何严格或宽松地进行检查。

selinux有三种模式：enforcing（强制）、permissive（警告）、disabled（关闭）

模式的查看与更改：
getenforce ##显示模式
setenforce 0|1
– 0 表示 permissive ## 警告
– 1 表示 enforcing ## 强制

更改selinux开机状态
配置文件：vim /etc/sysconfig/selinux
selinux=“需要更改的模式”

注意：disable状态切换到permissive或enforcing状态需要重启系统

安全上下文：
所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的。在SELinux中，访问控制属性叫做安全上下文。所有客体（文件、进程间通讯通道、套接字、网络主机等）和主体（进程）都有与其关联的安全上下文，一个安全上下文由三部分组成：用户、角色和类型标识符。通常格式如下：
USER：ROLE：TYPE[LEVEL[：CATEGORY]]

显示 SELinux 文件上下文：
ls -Z

修改 selinux 安全上下文：
chcon -t ##一次性定制安全上下文,执行 restorecon 刷新后还原原先配置
例如:
chcon -t public_content_t /westos/
永久修改：
semanage fcontext
例如：
semanage fcontext -a -t public_content_rw_t ‘/var/ftp/pub(/.*)?’
##(/.*)?, 表示随意地匹配 / 后跟任何数量的字符

监控 SELinux冲突
安装 setroubleshoot-server 软件包 ,才能将SELinux 消息发送至/var/log/messages
命令：yum install setroubleshoot-server -y
etroubleshoot-server 侦听/var/log/audit/audit.log中的审核信息并将简短摘要发送至 /var/log/messages
摘要包括 SELinux 冲突的唯一标识符 ( UUIDs ),可用于收集更多信息。
Sealert -l UUID ##用于生成特定事件的报告。
Sealert -a /var/log/audit/audit.log ##用于在该文件中生成所有事件的报告
在该报告中，一般会给出报错的解决方法。