linux系统之selinux详解

（一）  全称：内核级加强型防火墙
  作用：限制ftp服务功能
    1.针对文件，会对系统中每个文件添加安全上下文（context）
    2.针对进程，会对系统中每个进程添加安全上下文（context）
    3.会在系统服务上设定sebool开关（阀值）
    4.当进程安全上下文和文件的安全上下文不匹配时，进程无法访问此文件
    5.sebool会限制服务的不安全功能，如果需要此功能，必须调整sebool值
（二）管理selinux
1.selinux开关
vim /etc/sysconfig/selinux

SELINUX=enforcing    ###selinux开启，级别为强制
SELINUX=permissive   ###selinux开启，级别为警告
SELINUX=disable      ###selinux关闭

切换级别：setenforce 0/1    ##0表示警告1表示强制
查看selinux状态：getenforce

！！！注意：当selinux开关状态改变时，需要重启系统

2.selinux中对文件安全上下文的设定
1>
 chcon -t 安全上下文 file   ###临时更改，适用于文件
eg:  chcon -t public_content_t /var/ftp/file

2>永久更改安全上下文 适用于目录
 semanage fcontext -l          ##列出
 semanage fcontext -a -t public_content_t '/westos(/.*)?'  ##-a添加 -t
 restorecon -RvvF /westos/            ##-RvvF 多个

3>selinux的sebool值的管理

• SELinux 布尔值是更改 SELinux 策略行为的开关。
SELinux 布尔值是可以启用或禁用的规则。
安全管理员可以使用 SELinux 布尔值来调整策略 , 以有选择地进行调整
• 许多软件包都具有 man page *_selinux(8), 其中详细说明了所使用的一些布尔值 ;
 man -k ‘_selinux’ 可以轻松地找到这些手册
• getsebool 用于显示布尔值 , setsebool 用于修改布尔值
• setsebool -P 修改 SELinux 策略 , 以永久保留修改。

getsebool | grep 服务名称
setsebool -P bool值 on|off  

4>selinux的排错
selinux 的日志存放在/var/log/audit/audit.log

 
放到系统日志

注意：不是所有的报错都可以按日志建议去排除！！！