selinux ----核心級加強型防火牆

1. 針對檔案，會對系統中的每個檔案新增安全上下文（context）
2. 針對程序，會對系統中的每個程序新增安全上下文（context）
3. 會在系統服務額上設定sebool開關
4. 當程序安全上下文和檔案的安全上下文不匹配時，那麼程序無法訪問此檔案
5. sebool會限制服務的不安全功能，如果需要用此功能，必須調整sebool值

管理selinux

開關selinux

vim/etc/sysconfig/selinux ---- selinux配置檔案

SELINUX=enforcing ---- selinux開啟，級別為強制

SELINUX=permissive ---- selinux開啟，級別為警告

SELINUX=disabled ---- selinux關閉

注意：當selinux狀態改變需要重啟系統

seliux對檔案上下文的設定

臨時更改：

chcon-t ---- 安全上下文檔案

chcon-t public_content _t /xxx ---- 修改檔案上下文

永久更改：

semanagefcontext -l ---- 列出核心安全上下文列表內容

semanagefcontext -a -t public_content_t '/xxx(/.*)?'

restorecon -FvvR /publicftp/ ---- 重新整理

setenforce 0|1 ---- 更改selinux執行級別，0表示警告，1表示強制

getenforce ---- 檢視selinux狀態

控制selinux對服務功能的開關sebool

getsebool-a | grep 服務名稱

setsebool-P 功能 on|off

排錯

yum install setroubleshoot-server -y ---- 安裝setroubleshoot軟體

/var/log/messages

/var/log/audit/audit.log ---是setroubleshoot軟體分析總結後的日誌真正的所在位置，messages裡面可以沒有，該目錄下一定有