centos7 selinux详解

1. 基本

# 查看
ls  -Z

# 查看 当前 SELinux 模式
命令：getenforce

# selinux三个状态：
- enforcing 强制
- permissive 警告
- disabled 关闭selinux
# 临时修改
命令：setenforce [0|1]
0：转成 permissive 宽容模式；
1：转成 Enforcing 强制模式；
# 永久修改  
vim /etc/sysconfig/selinux
修改 SELINUX=disabled
reboot

# 安装semanage
yum -y install policycoreutils-python

选项	含义
-a	添加默认安全上下文配置
-d	删除指定的默认安全上下文
-m	修改指定的默认安全上下文
-t	设定默认安全上下文的类型


# 给/test/目录及目录下的所有内容
semanage fcontext -a -t system_cron_spool_t "/test(/.*)?"
# 重载
restorecon -FRv /test/
# 查看
ls -Zd /test/

2. 端口操作

semanage port -l   #查看selinux中给各个服务提供的默认端口
semanage port -l | grep http   #查看与http服务相关的端口
semanage port -a -t http_port_t -p tcp 8909
# 其中-a表示添加，-t表示类型也就是http_port_t，-p表示协议也就是tcp协议

3. 实例

# 准备工作，安装httpd服务，修改监听的端口号为80，考试不需要做。
[root@servera ~]# yum -y install httpd
[root@servera ~]# systemctl enable --now httpd
[root@servera ~]# echo hello wuhan > /var/www/html/index.html
[root@servera ~]# vim /etc/httpd/conf/httpd.conf # 修改监听的端口号
Listen 82
# 实际操作
[root@servera ~]# systemctl restart httpd #重启服务报错，原因是selinux
# 考试需要查看监听的端口号为多少，再将对应的端口号（82端口）设置为httpd的标准端口即可
[root@servera ~]# semanage port -a -t http_port_t -p tcp 82
#重启服务
[root@servera ~]# systemctl restart httpd
#查看端口号82已经监听
[root@servera ~]# netstat -tulnp | grep httpd
tcp6 0 0 :::82 :::* LISTEN
25747/httpd
[root@servera ~]# curl http://servera:82