linux下的selinux简单设置

selinux最初是有美国国家安全局开发的用于防止系统资源误用的。

更改selinux状态,如果selinux是开启的可以使用setenforce 0/1来切换enforcing和permissive状态
如果selinux是关闭的,需要开启,首先修改配置文件/etc/selinux/config 然后查

看/boot/grub/menu.lst里面确保kernel那一行后面没有selinux=0
,接下来重新启动,selinux从开启到关闭或者从关闭到开启必须要重启
使用ls -Z来查看文件的安全上下文
drwxr-xr-x  root root root:object_r:user_home_t        Desktop
所示,为冒号分开的三个字段
第一个字段身份表示有三种
root 表示root的帐号身份
system_u 一般指进程
user_u 一般用户
第二个字段,说明这个数据是属于程序,文件资源还是代表用户,有两种
object_r 代表目录或者文件资源
system_r 代表进程或者一般用户
第三个字段是类型,也是最重要的如果将这个字段写成1_2_3,

我的理解是:文件如果是属于1这个用户或者进程的,则这个文件只有具有1开头的这种安全上下文类型,1这个用户或者进程才能够正确调用,否则会被selinux挡掉

使用ps -Z来查看进程的安全上下文
修改安全上下文 chcon -R -t 安全上下文类型 文件/目录
               chcon --reference=文件/目录 文件/目录 将某个文件当作范例来修改后面的文件
               restorecon -Rv 文件/目录 还原文件上下文
启动setroubleshoot进程,将selinux报错记录到/var/log/messages中
使用seinfo来查询selinux的相关策略,有两种策略,targeted(redhat的默认策略,一般只对网络服务做限制),strict(NSA严格的selinux限制,对所有文件做selinux限制)
查询布尔值的状态 getsebool 布尔值,状态有开启和关闭两种
设置布尔值的状态 setsebool -P 布尔值=0/1
目录默认的安全上下文的查询和修改
查询: semanage fcontext -l
设置一个目录的默认安全上下文 semanage fcontext -a -t 安全上下文 目录

你可能感兴趣的:(linux,职场,设置,selinux,休闲)