selinux ----内核级加强型防火墙
- 针对文件,会对系统中的每个文件添加安全上下文(context)
- 针对进程,会对系统中的每个进程添加安全上下文(context)
- 会在系统服务额上设定sebool开关
- 当进程安全上下文和文件的安全上下文不匹配时,那么进程无法访问此文件
- sebool会限制服务的不安全功能,如果需要用此功能,必须调整sebool值
管理selinux
开关selinux
vim/etc/sysconfig/selinux ---- selinux配置文件
SELINUX=enforcing ---- selinux开启,级别为强制
SELINUX=permissive ---- selinux开启,级别为警告
SELINUX=disabled ---- selinux关闭
注意:当selinux状态改变需要重启系统
seliux对文件上下文的设定
临时更改:
chcon-t ---- 安全上下文文件
chcon-t public_content _t /xxx ---- 修改文件上下文
永久更改:
semanagefcontext -l ---- 列出内核安全上下文列表内容
semanagefcontext -a -t public_content_t '/xxx(/.*)?' ---- a添加,t类型
restorecon -FvvR /publicftp/ ---- 刷新
setenforce 0|1 ---- 更改selinux运行级别,0表示警告,1表示强制
getenforce ---- 查看selinux状态
控制selinux对服务功能的开关sebool
getsebool-a | grep 服务名称
setsebool-P 功能 on|off
排错
yum install setroubleshoot-server -y ---- 安装setroubleshoot软件
/var/log/messages ---是setroubleshoot软件分析总结后的
/var/log/audit/audit.log ---是setroubleshoot软件分析总结后的日志真正的所在位置,messages里面可以没有,该目录下一定有