SELinux相关知识一

一、SELinux是什么？
SELinux，Security Enhanced Linux 的缩写，也就是安全强化的 Linux。传统的 Linux 系统安全，采用的是 DAC（自主访问控制方式），而 SELinux 是部署在 Linux 系统中的安全增强功能模块，它通过对进程和文件资源采用 MAC（强制访问控制方式）为 Linux 系统提供了改进的安全性。

二、SELinux的作用：
传统的 Linux 系统安全，采用的是 DAC（自主访问控制方式），而 SELinux 是部署在 Linux 系统中的安全增强功能模块，它通过对进程和文件资源采用 MAC（强制访问控制方式）为 Linux 系统提供了改进的安全性。

三、SELinux的三种工作模式：
见/etc/selinux/config
1.Disable工作模式（关闭模式）
在 Disable 模式中，SELinux 被关闭，默认的 DAC 访问控制方式被使用。对于那些不需要增强安全性的环境来说，该模式是非常有用的。
2.Permissive工作模式（宽容模式）
在 Permissive 模式中，SELinux 被启用，但安全策略规则并没有被强制执行。当安全策略规则应该拒绝访问时，访问仍然被允许。然而，此时会向日志文件发送一条消息，表示该访问应该被拒绝。
3.Enforcing工作模式（强制模式）
从此模式的名称就可以看出，在 Enforcing 模式中， SELinux 被启动，并强制执行所有的安全策略规则。

四、安全上下文件查看：
1.查看文件和目录的安全上下文，执行命令如下：
ls -Z /var/www/html

2.查看进程的安全上下文,执行命令如下：
ps auxZ |grep httpd

只要进程和文件的安全上下文匹配，该进程就可以访问该文件资源。

五、安全上下文件的修改
chcon 命令格式如下：

$ chcon [选项] 文件或目录
选项：
-R： 递归，当前目录和目录下的所有子文件同时设置；
-t： 修改安全上下文的类型字段，最常用；
-u： 修改安全上下文的身份字段；
-r： 修改安全上下文的角色字段；

restorecon 命令格式如下：
$ # restorecon [选项】 文件或目录

选项：
-R：递归.当前目录和目录下所有的子文件同时恢复；
-V：把恢复过程显示到屏幕上；

六、默认安全上下文的查询和修改：
1.默认安全上下文的查看：
$semanager fcontext -l

2.默认安全上下文的修改：
$semanager fcontext -a -t httpd_sys_content_t “/var/www(/.*)”