SELINUX（Security-Enhanced Linux 安全增强型Linux）（Enforcing、Permissive、Disabled

以上命令将显示当前的SELinux状态，包括正在加载的策略。

Configuring SELinux（配置SELinux）（targeted针对的、minimum最小化的、mls多级保护）

System administrators can manipulate（操作） the SELinux settings via the /etc/selinux/config file. Here, you can set the SELinux mode and choose the policy to load at boot time.

系统管理员可以通过/etc/selinux/config文件操作SELinux设置。在这里，您可以设置SELinux模式并选择在启动时加载的策略。

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of three values:
# targeted - Targeted processes are protected,
# minimum - Modification of targeted policy. Only selected processes are protected. 
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

The settings in this file will take effect after a system reboot.
这个文件中的设置将在系统重启后生效。

这三种SELinux策略的范围从小到大可以理解为 “minimum” < “targeted” < “mls”。

1. Minimum：这是最小的范围，只保护选定的进程。这是对"targeted"策略的一种修改，比"targeted"策略有更少的受保护的进程。
2. Targeted：这个策略的范围比"minimum"大。它针对特定的系统进程进行保护，而其它进程则运行在传统的Discretionary
   Access Control（DAC）环境下。这是默认的SELinux策略。
3. MLS (Multi Level Security)：这是范围最大的策略，它为所有的系统进程提供了多级别的安全保护。

注意：

在这里，“targeted”和“minimum”是两种不同的SELinux策略类型。

1. Targeted：这种策略只针对特定的系统进程进行保护，而其它进程则运行在传统的Discretionary Access Control（DAC）环境下。这是默认的SELinux策略。
2. Minimum：这种策略是对"targeted"策略的修改。它只保护选定的进程，但比"targeted"策略有更少的受限制的进程。

所以说，“Targeted processes are protected”和“Only selected processes are protected”虽然看起来很像，但是它们所指的保护范围和级别是不同的。

Working with SELinux Booleans（使用SELinux布尔值）

SELinux booleans allow the administrator to modify SELinux settings on the fly（即时） without any need for policy recompilation（重编译）. To get a list of all available SELinux booleans, you can use:

SELinux布尔值允许管理员即时修改SELinux设置，无需重新编译策略。要获取所有可用的SELinux布尔值列表，您可以使用：

getsebool -a

To set a particular boolean value, use the setsebool command:

要设置特定的布尔值，请使用setsebool命令：

setsebool -P httpd_can_network_connect 1

In this example, we’re allowing the HTTPD daemon to make（建立） network connections.

在此示例中，我们允许HTTPD守护进程进行网络连接。

getsebool -a

setsebool -P httpd_can_network_connect 1

Conclusion

结论

While it might seem complex at first, SELinux is an extremely powerful tool that allows system administrators to have fine-grained（细粒的） control over their systems’ security. It offers a higher level of access control and process separation（进程隔离） than traditional Unix permissions models. Understanding how to work with SELinux can significantly enhance your system’s security posture.

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我