SELinux（Security Enhanced Linux）FOR RHEL5.X

 SElinux (Security Enhanced Linux 安全��化的linux）

�P�I字：DAC、 MAC、 Subject、 Object、 Policy、 Security Context、 Identify(root、system_u、user_u)、 Role(object_r、system_r)、 Type(type、domain)

 一般用途：

在DAC的基�A上增���ξ募�的�嘞薜脑L��，主要是����W�j�L��文件。

SElinux是整合到kernel的一��module，一般使用的RHEL系�y的distribution都包括了SElinux直接�⒂眉纯伞�

具�wselinux操作��下：

具�w的selinux支持的三�N模式：

enforcing:��制模式

permissive:��容模式

disabled:�P�]selinux

如果要�⒂�selinux��毡夭荒芘渲贸�disabled。

首先�z查selinux��B，用指令getenforce或者查看配置文件/etc/selinux/config相�P的具�w配置就�尚校�SELINUX=enforcing/permissive/disabled，SELINUXTYPE=targeted/strict。

如果要�⒂�selinux�在linux��拥�r候kernel��拥�r候一定不能在kernel /vmlinuz-2.6.xx-xx.xxx ro root=/dev/xxx 後面有selinux=0出�F。不然同�硬荒苁褂�selinux。

查看selinux的Policy�用指令sestatus具�w���vb。切�Qselinux在enforcing和permissive模式之�g敬�用setenforce指令，只有����底��担�0、1，分�e代表permissive和enforcing。更改selinux的Policy也同�涌梢跃��配置文件/etc/selinux/config文件，具�w配置��文件注�。

怎�又匦略O置selinux的安全性文本呢？�用指令chcon具�w���Rtur --reference，具�w用法�man或者info或者chcon --help。何��selinux的安全性文本呢？利用ls -Z指令即可查看各文件的selinux安全性文本。

使各文件的selinux安全性文本�原成�A�O的值，�用指令restorecon，���Rv。由於文件的�}�u，或其他的方式�е挛募�的selinux安全性文本�e�`，�е虏豢墒褂谩Ｓ�restorecon即可更改�轭A�O值。

selinux在�l生�e�`的�r候使用的���服�眨杭�setroubleshoot、auditd。setroubleshoot服�盏娜照I��入/var/log/message文件，二auditd服���入/var/log/audit/audit.log日�I文件。具�w的���服�罩挥玫降南嚓P指令是sealert和audit2why具�w的使用方法�google或者man、info

targeted的Policy使用的��t查看，�用指令seinfo���Atrub，查�到相�P的��e或者是booleans�r，想知道更��的��t，�使用sesearch指令，���atb。查�所有booleans值的指令getsebool。booleans值的修改�用setsebool指令。具�w��嫡�用“指令 --help”或者使用man、info等。

�A�O目�的安全性文本的查�和修改，�使用指令semanage具�w的使用��t�man。

本次使用到的主要指令有：getenforce、sestatus、chcon、restroecon、sealert、audit2why、seinfo、sesearch、getsebool、setsebool、semanage