selinux的初级管理

编辑/etc/sysconfig/selinux配置文件，可以管理selinux的级别。

selinux=disabled           ##关闭状态
selinux=Enforcing          ##强制状态（开启)
selinux=Permissive         ##警告状态（开启）

getenforce命令可用于查看selinux的状态。



当selinux开启时，setenforce命令可更改selinux运行级别。

setenforce 0            ##修改为警告状态
setenforce 1            ##修改为强制状态

什么是安全上下文？

所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的。在SELinux中，访问控制属性叫做安全上下文。所有客体（文件、进程间通讯通道、套接字、网络主机等）和主体（进程）都有与其关联的安全上下文，一个安全上下文由三部分组成：用户、角色和类型标识符。

有关于对安全上下文的格式解读，请参考http://blog.csdn.net/des_lucioles/article/details/49514519

通常，我们可以使用ls -Z命令查看文件和目录的安全上下文。



ftp服务只能识别带有public_content_t标签的文件，然后显示在站点目录上。



为了使file能够同样显示在pub目录下，需要更改相应的标签。

**临时更改**
chcon -t 安全上下文  文件
chcon -t public_content_t -R

**永久更改**
semanage fcontext -l             ##列出内核安全上下文列表内容
semanage fcontext -a -t public_content_t '/publicftp(/.*)?'
restorecon -FvvR /publicftp/     ##使更改生效

永久更改/var/ftp/pub/file文件的type



查看更改



站点目录成功显示file



控制selinux对服务功能的开关

**查看及更改方式**
getsebool -a | grep 服务名称
setsebool -P 功能bool值 on|off

查看selinux对ftp服务功能的控制情况



假设要使匿名用户登陆lftp可上传，则修改ftp服务的ftpd_anon_write功能值为on，并编辑/etc/vsftpd/vsftpd.conf配置文件，添加anon_upload_enable=YES

setsebool -P ftpd_anon_write on

vim /etc/vsftpd/vsftpd.conf
anon_upload_enable=YES