selinux相关

 1、开启与关闭

      getenforce    查看状态,状态有三种：permissive|enforcing|disabled

      setenforce     设置开启  0 表示：permissive    1表示：enforcing

      修改完selinux，必须重启计算机才能生效，因为selinux是写到内核里，重启重新加载内核

直接执行setenforce 0是关闭selinux，不用重启计算机

2、selinux控制的对象是：进程--策略--安全上下文--资源访问的一个过程，

3、策略：policy

      seinfo  -Abtur

      seinfo  后面如果什么参数都不带，表示统计信息

      A:查看selinux详细的布尔值、类型、角色、身份标识、状态等所有信息

      b:查看selinux所有布尔值种类

      t：查看selinux所有类型种类

      u:查看selinux所有身份标识的种类

      r:查看selinux所有角色的种类

4、安全上下文：

     identify:role:type

     身份标识:角色:类型

     1、identify:root|system_u|user_u共计三种类型

     2、role：system_r|object_r

     3、type:针对文件与目录(type)，针对主体进程（domain）

5、如何修改安全上下文：

     chcon:修改安全上下文的类型

     -t  类型

     -R：递归

     -u：

     -r:

     --reference=/   /

     例如： chcon -t httpd_sys_content_t  /var/www/html

     restorecon    恢复默认的安全上下文

6、seinstroubleshoot服务  简单的

      autied 服务     详细的

      chkconfig  --list seinstroubleshroot

      chkconfig   seinstroubleshroot  on

      cat /var/log/message

       seleart -l  .........

      autied2why < /var/log/message

7、如何查看和修改布尔值

      getsebool  -a   查看所有的布尔值

      setsebool -P 布尔值=0|1

8、如何修改一个默认的安全上下文

      semange fcontext -l 

       -a:增加

       -m:修改

       -d：删除

     例子：

     mkdir /srv/samba

     semange fcontext -l |grep '/srv/'

     semange fcontext -l -a 类型 "/srv/(/.*)?"

     restorecon -Rv /srv/samba   恢复这一步很重要，执行这一步才能看到结果