NO.10 selinux的管理

在linux中除了传统的 UGO 模型外 基于内核linux还开发一个叫做selinux的安全策略

他可以被看作与标准权限系统并行的一种权限系统。在常规模式中，以用户身份运行

进程，并对系统上的文件及资源都设置了权限，即使以超级用户身份也有可能被拒绝

访问。

selinux以标签的形式制定文件及资源的访问策略，即只有相同标签的服务才能访问文

件或资源。主要用于网络及相关的服务。

显示及更改 SELINUX 模式
getenforce
setenforce 0 |1
– 0 表示 permissive   警告
– 1 表示 enforcing     强制

更改 selinux 的开机状态
vim /etc/sysconfig/selinux

改为  SELINUX = disable  |   enforcing  |   permissive

 可以使用命令 ls -Z 或 ps  -Z 来显示 SElinux的 上下文

修改selinux的安全上下文

• chcon -t
– 一次性定制安全上下文,执行 restorecon 刷新后还原
• semanage fcontext
– 永久更改文件的上下文

例子：semanage fcontext -a -f "" -t httpd_sys_content_t  '/virtual(/.*)?'

selinux的布尔值

getsebool 用于显示布尔值 , setsebool 用于修改布尔值
setsebool -P 修改 SELinux 策略 , 以永久保留修改。
semanage boolean -l 将显示布尔值是否永久