介绍selinux

1. selinux

内核级加强型防火墙

>针对文件，会对系统中每个文件添加安全上下文（context）
>针对进程，会对系统中的每个进程添加安全上下文（context）
>会在系统的服务上设定sebool开关
>当进程的安全上下文和文件的安全上下文不匹配时，那么进程无法访问该文件
>sebool会限制服务的不安全功能，如果需要此功能，必须调整sebool值

2. 管理selinux

1)selinux的开关
>vim /etc/sysconfig/selinux
SELINUX=enforcing     ##selinux开启，并且级别为强制（警告+拒绝）
SELINUX=permissive     ##selinux开启，级别为警告（允许加警告）
SELINUX=disabled     ##selinux关闭

setenforce 0|1         ##更改selinux当前的级别0警告1强制
getenforce         ##查看selinux的状态

注意：当selinux从开到关，或者从关到开，需要重启系统

2）selinux中对于文件安全上下文的设定

#临时更改适用于更改文件
chcon -t 安全上下文 文件
chcon -t public_content_t /var/ftp/file1

#永久更改
semanage fcontext -l    ##查看系统文件的安全上下文
semanage fcontext -a -t public_content_t '/westos(/.*)？'
-a 添加 -t 类型
restorecon -RvvF /westos/

3)selinux的bool值的设定

getsebool -a | grep 服务名称
setsebool -P bool值  on|off/1|0

实操：

4)selinux日志的显示

/var/log/audit/audit.log ##原本显示目录（只显示报错）
/var/log/messages      ##通过某个服务后可显示的目录（显示报错以及解决方式）
其中显示的解决方法：
setsebool -P ftpd_full_access 1
restorecon -v '$FIX_TARGET_PATH'
（仅提供参考不具有安全性）

中间转换服务名：
rpm -qa | grep setroubleshoot
yum remove setroubleshoot-server-3.2.17-2.el7.x86_64
yum install setroubleshoot-server -y