linux 中的selinux

1、selinux ----内核级加强型防火墙

（1）针对文件，会对系统中的每个文件添加安全上下文（context）

（2）针对进程，会对系统中的每个进程添加安全上下文（context）

（3）会在系统服务额上设定sebool开关

（4）当进程安全上下文和文件的安全上下文不匹配时，那么进程无法访问此文件

（5）sebool会限制服务的不安全功能，如果需要用此功能，必须调整sebool值

2、管理selinux

开关selinux

vim/etc/sysconfig/selinux

SELINUX=enforcing ---selinux开启，级别为强制

SELINUX=permissive ---selinux开启，级别为警告

SELINUX=disabled ---selinux关闭

注意：当selinux状态改变需要重启系统

2、seliux对文件上下文的设定

（1）临时更改

chcon-t安全上下文文件

chcon-t public_content _t /var/ftp/file1

（2）永久更改

semanagefcontext -l ---列出内核安全上下文列表内容

semanagefcontext -a -t public_content_t '/publicftp(/.*)?' ---a添加，t类型

restorecon-FvvR /publicftp/ ---刷新

setenforce0|1 ---更改selinux运行级别，0表示警告，1表示强制

getenforce ---查看selinux状态

3、控制selinux对服务功能的开关sebool

getsebool-a | grep服务名称

getsebool-a | grep ftp

setsebool-P功能bool值on|off

setsebool-P ftp_home_dir on

4、排错

/var/log/messages ---是setroubleshoot软件分析总结后的

/var/log/audit/audit.log ---是setroubleshoot软件分析总结后的日志真正的所在位置，messages里面可以没有，该目录下一定有

下面以查看ftp下的文件为例介绍排错方法

首先清空日志，然后登陆ftp会发现看不到建立的文件

查看日志中的报错

找到节解决方按，执行,查看错误是否解决