SElinux安全子系统---学习

SElinux是一个强制访问控制的安全子系统，是为了让各个服务进程都受到约束，只能获取到属于自己的资源

SElinux有三种配置模式：

1：enforcing--强制启动安全配置策略，拦截不合法的请求。

2：permissive--遇到服务越权访问是=时，只发出报警而不去拦截。

3：disabled--对于越权的行为不报警也不拦截。

SElinux主配置文件--- /etc/selinux/config  其中定义的是selinux的默认运行状态，也就是说他是系统重启后的运行状态，不行修改后就立即生效（本人小白嫌麻烦把SElinux禁了，非常不建议将其关了）。

使用getenforce查看selinux的运行模式

可用setenforce 【0/1】命令修改selinux的运行模式（0为禁用 1为启用）----这种方式的修改只是零时的，系统重启后失效。

在文件上设置的selinux安全上下文是由用户段，角色段以及类型多个信息项共同组成。

system-u代表系统进程的身份，角色段object_r代表文件目录的角色，类型段home_root_t代表home服务的系统文件

 semanage命令

semanage用于修改管理selinux的策略

semanage常用参数：

-l           用于查询

-a          用于添加

-m         用于修改

-d           用于删除

例如：向一个新的网站目录中添加一条selinux安全上下文，让httpd能访问这个目录下的所有文件(/home/wwwroot网站的目录)：

semanage fcontext -a -t httpd_sys_content_t /home/wwwroot

semanage fcontext -a -t httpd_sys_content_t /home/wwwroot/*

还要使用restorecon命令将设置好的selinux上下文立即生效，加上-Rv参数可以对指定目录递归操作并显示修改过程。