SElinux的强制访问控制

Selinux安全体系结构成为flask ,安全策略的逻辑和通用接口一起封装在与操作系统独立的组件，这个安全组件成安全服务器。操作系统的访问控制分为自主访问控制DAC，强制访问控制，和基于角色的访问控制，Selinux是强制访问控制的实现。

Selinux 的特点：

对访问控制的彻底化，对所有文件，目录，端口，的访问都是基于策略设定的，用户被划分成不同的角色，即使是root用户，如果不是某个角色，也不具有文件执行的权限。

当启动SELinux的时候，所有文件和对象都具有安全上下文，安全文的上下文由身份识别，角色，类型三部分组成，

查看文件目录的安全性上下文，

#ls -ldZ /usr/sbin/httpd修改文件目录上下文使用chcon命令

#chcon -R -t samba_share_t/tmp/abc

编辑SELinux的配置文件

#ls -l /etc/selinux 查看SELinux的文件目录

#vim /etc/selinux/config

查看SELinux状态的命令

#sestatus

selinux应用

selinux的设置分为两个部分，修改安全上下文以及策略，

SELinux与FTP

#chcon -R -t public_content_t/var/ftp //允许匿名用户访问FTP服务器

#chcon -R -t public _content_rw_t/var/ftp/incoming   //允许匿名用户上传文件

#setsebool -P allow_ftpd_full_access on  允许所有用户上传或下载文件

SELinux与http

apache的主目录如果修改位置，SELinux就会限制客户访问，