selinux简介

selinux：

         secureenhances linux，工作于linux内核中

         DAC：自主访问控制

         MAC：强制访问控制

         selinux有两种工作级别：

                   strict：每个进程都受到selinux的控制

                   targeted：仅有限个进程受到selinux控制

                                     只监控容易被入侵的进程

         sandbox：

         subjectoperation object

                   subject：进程

                   object：进程，文件

                            文件：open，read，write，close，chowm，chmod

         selinux为每个文件提供了安全标签，也为进程提供了安全标签

                   user：role：type

                            user：selinux的user

                            role：角色

                            type：类型

         selinux规则库：

                   规则：哪种域能访问哪种类型类文件：

配置selinux：

         selinux是否启用：

         给文件重新打标：

         设定某些布尔型特性

         selinux的状态：

                   enforcing：强制，每个受限的进程必然受限

                   permissive：启用，每个受限的进程违规操作不会被禁止，但会被记录于审计日志

                   disabled：关闭

                   相关命令：

                            getenforce：获取selinux 当前状态

                            setenforce0|1

                                     0：设置为premissive

                                     1：设置为enforcing

                            此设定：重启系统后无效

                            配置文件：/etc/sysconfig/selinux,/etc/selinux/config

                                     selinux={disabled|enforcing|promissive}

         给文件重新打标：

                   chcon

                            chcon [OPTION]... CONTEXT FILE...

                 chcon[OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE...

                 chcon[OPTION]... --reference=RFILE FILE...

                            -R：地柜打标

         还原文件的默认标签：

                  restorecon [-R] /path/to/somewhere

布尔型规则：

         getsebool

         setsebool

         getsebool命令：

                   getsebool[-a] [boolean]

         setsebool命令：

                   setsebool[-p] Boolean value | bool1=val1 bool2=val2