SELinuxSecurity Enhanced Linux  安全加强的linux

DAC àMAC  

DAC:自主访问控制 Discretionary  Access  Control )每个用户可以随意修改自己的文件权限                  

MAC:强制访问控制 Mandatory  Access  Control  把权限都定义在sandbox

C2à B1   C2  C1  B3  B2  B1  A1

ls -Z 查看文件 及其安全上下文,统称标签)  id -Z显示当前用户类型

SELinux  Policy selinux策略   定义文件在/etc/selinux/targeted/policypolicy.21

strict 严格级别        targeted:挑选性定制进程进行限定 其他对自身没影响的就不限定了

selinux就采用的是targeted这种类型      unconfined_d:未定义的类型

getsebool -a 显示所有的布尔值     布尔:在限定用户权限时定义的值(在sandbox中)

getenforce 查看当前selinux功能是否打开

/etc/selinux/config=/etc/sysconfig/selinux中定义默认targeted类型 也定义selinux启用类型   

setenforce  1|0 设置selinux工作模式 1表示enforcing  0表示permissive 临时起效

/etc/grub.conf设置selinux是否启用 0表示不启用 1表示启用 在内核后面加selinux 0|1

登录进来的身份标志有三种:root  user_u表示普通用户  system_u表示进程

semanage  fcontext  -l 列出所有文件可以使用的背景标签

改文件标签:chcon : change context   -t用于改变文件标签中的类型  -R递归修改,把一个目录及其子目录中的文件全部修改   --reference 把一个文件标签复制到一个文件上去

例如:chcon --reference=fstab httpd.crt fstab文件类型为标准把另个文件改为和他一样的类型

restorecon 后跟文件名 表示恢复文件的默认标签类型   -R-r)表示递归修改文件的标签

setsebool 后跟文件名 on|off 打开或者关闭某个文件的布尔值 但只是临时生效 

setsebool后加-P表示持久修改有效

/var/log/audit/audit.log存着selinux日志