targeted放了关于selinux的信息,比如安全上下文
default_type 默认类型,systemd_contexts 安全上下文
角色:类型(什么样的角色生成什么样的文件,有对应的类别
启用禁用selinux
启用
permissi相当于半禁用,等于selinux不起作用,但是违反了policy策略会报警,并不起到阻止你的作用
disable彻底禁用
改disabled必须要重启(从disabled切换,还时从上面切换到disabled都要重启
可以临时切换状态
sestatus可以看的更加详细
current mode当前正在生效的
mode from config file 文件里写的是上面模式/etc/selinux/config
什么文件需要什么样的标签,都有严格的规则
如果标签错误了,就可能导致此文件不可用
期望上下文,是应该是什么上下文,但是实际情况可能有偏差
应该有的上下文,但是这个文件的上下文可能实际的并不一致
logger命令就是生成一条日志在/var/log/messages
标签错误就可能会导致日志不能记录
centos7由于标签错误没有记录
修改回去
重新产生日志还是没有,需要把对应的日志服务启动起来
启动服务
这条命令改的前提是你得知道正确的标签是什么
查阅一下应该有的标签是什么
改回default-t
还可以用另一种方法还原restorecon(是去数据库查找这个文件的标签,要求此数据库曾经记录过
但是有时候数据没有这个文件的标签(是手工创建的,不是系统自己建的
比如data下的文件,只能是默认的标签
如果我想在这里创建一个文件当网页主页,就有可能因为se策略导致不可用
如果是默认的就有可能此文件夹里的文件不能被某些服务使用、
启用se策略
想把网站的页面放在这个目录下,原标签如下
把网站的页面迁移到data里
想把这个迁移到data里
当前服务为
httpd服务子在selinux默认必须为80端口
迁移需要修改配置文件
httpd服务阻止你去访问这个文件
数据库里没有这个文件,就还原不了,只能手工指定
查看原来,参考原来的,改之间创建的标签
修改标签
可以访问了
如果新创建还需要改标签,就可以把文件夹改了
原来httpd服务的文件夹标签
默认新建文件会从父文件继承
还有另外一种方法,添加到数据库就可以 -a 增加 -l查
(/.*)?文件或者文件夹下的所有文件
-d删除 ,更改数据应有的标签
端口i问题
这些端口认为是合法的,9527就不行,下图添加9527端口
修改配置文件,重新启动
0是临时禁用selinux,只警报不阻止你
-m把原来http9527端口加入到ssh里面,httpd就没有9527了
认为某些服务某些行为是危险的,就会以布尔值约束你
关于ftp相关的boolean值
、
selinx默认认为匿名上传是危险的,禁止上传
state当前生效的boolean值内存中的ONoff
default默认应该是什么值 (硬盘中是ON还是off
当前生效的所有值 -a
要想上传除了ftp本身的配置要改,seboolean也要改
1=on
0=off
这条命令只改了内存,硬盘,没改
永久生效最好用-大P
有可能因为selinux策略的问题导致服务不能正常工作,z怎么才能知道是selinux策略的问题
图形界面下
sealert -l UUID查看日志i内容
专门对selinux的日志做整理
开发手册和man帮助
安装doc包
安装完查看selinux某个服务的规则可以man -k搜索一下
更新一下数据库
禁用selinux
这文件改了必须重新启动才生效
permissive虽然禁用了但是还有报警