linux系统之selinux详解

（一）  全称：内核级加强型防火墙  作用：限制ftp服务功能     1.针对文件，会对系统中每个文件添加安全上下文（context）    2.针对进程，会对系统中每个进程添加安全上下文（context）    3.会在系统服务上设定sebool开关（阀值）    4.当进程安全上下文和文件的安全上下文不匹配时，进程无法访问此文件    5.sebool会限制服务的不安全功能，如果需要此功能，必须调整sebool值（二）管理selinux1.selinux开关vim /etc/sysconfig/selinuxSELINUX=enforcing    ###selinux开启，级别为强制SELINUX=permissive   ###selinux开启，级别为警告SELINUX=disable      ###selinux关闭切换级别：setenforce 0/1    ##0表示警告1表示强制查看selinux状态：getenforce！！！注意：当selinux开关状态改变时，需要重启系统2.selinux中对文件安全上下文的设定1> chcon -t 安全上下文 file   ###临时更改，适用于文件eg:  chcon -t public_content_t /var/ftp/file2>永久更改安全上下文 适用于目录 semanage fcontext -l          ##列出 semanage fcontext -a -t public_content_t '/westos(/.*)?'  ##-a添加 -t restorecon -RvvF /westos/            ##-RvvF 多个3>selinux的sebool值的管理• SELinux 布尔值是更改 SELinux 策略行为的开关。 SELinux 布尔值是可以启用或禁用的规则。安全管理员可以使用 SELinux 布尔值来调整策略 , 以有选择地进行调整 • 许多软件包都具有 man page *_selinux(8), 其中详细说明了所使用的一些布尔值 ; man -k ‘_selinux’ 可以轻松地找到这些手册 • getsebool 用于显示布尔值 , setsebool 用于修改布尔值 • setsebool -P 修改 SELinux 策略 , 以永久保留修改。getsebool | grep 服务名称setsebool -P bool值 on|off  4>selinux的排错selinux 的日志存放在/var/log/audit/audit.log 放到系统日志注意：不是所有的报错都可以按日志建议去排除！！！