SELinux

1.什么是selinux

selinux，内核级加强型防火墙

查看selinux的命令：

getenforce ##获取selinux的运行状态
setenforce 0|1 ##更改selinux运行级别（在selinux开启时）
ls -Z ##获得selinux方面的信息
sestatus ##显示selinux的策略

2.如何管理selinux级别

selinux开启或者关闭

vim /etc/sysconfig/selinux   ##selinux主配置文件

selinux=disabled ##关闭状态
selinux=Enforcing ##强制状态(带标签)
selinux=Permissive ##警告状态

3.如何更改文件安全上下文

临时更改

chcon -t 安全上下文 文件
例：chcon -t public_content_t /publicftp （加-R：该目录下的所有文件安全上下文）

永久更改

semanage fcontext -l ##列出内核安全上下文列表内容
semanage fcontext -a -t public_content_t ‘/publicftp(/.*)?’ ##更改安全上下文
restorecon -RvvF /publicftp/ ##刷新
semanage fcontext -a -t public_content_rw_t ‘/publicftp(/.*)?’ ##同时设置读写权限

4.如何控制selinux对服务功能的开关

getsebool -a | grep 服务名称 （a:all）##显示服务的当前布尔值策略的状态
例：getsebool -a | grep ftp
setsebool -P 功能bool值 on|off ##设置selinux的策略
例：setsebool -P ftpd_anon_write on

5.监控selinux的错误信息

setroubleshoot-server ##解决方案(troubleshoot错误克服)

setroubleshoot ##将错误信息与解决方法写入/var/log/messages

cat /var/log/messages | grep setroubleshoot ##查看错误信息
sealert -l + 错误代码  ##查看更完整的错误信息

chkconfig --list setroubleshoot  ##列出setroubleshoot当前执行等级，3，5为on即可（linux运行模式在3或5号）
chkconfig setroubleshoot on ##设置开机启动setroubleshoot

selinux日志文件：
/var/log/audit/audit.log