selinux

   selinux是美國國家安全局對linux安全一種增強機制。linux是一切皆檔案而selinux是一切皆對象，我們主要操作的對象，一般有檔案，端口；selinux還有一個開啟某個selinux特性的開關sebool。

一 selinux的開啟與模式

selinux的模式是在/etc/selinux/conf檔案中配置，同時這個檔案也提供selinux的開啟與關閉。配置檔案的格式：

selinux有四種工作類型：

strict: centos5,每個程序都受到selinux的控制

targeted: 用來保護常見的網絡服務,僅有限程序受到selinux控制，隻監控容易被入侵的程序， rhel4隻保護13個服務，rhel5保護88個服務（tartgeted是以包容模式運作的，就是說沒有定義的可以運作，定義才限制）

minimum： centos7,修改過的targeted，隻對選擇的網絡服務

mls:提供mls（多級安全）機制的安全性

minimum和mls穩定性不足，未加以應用

二檢視selinux權限

  檢視檔案的selinux權限

三設定selinux權限

   指定檔案的selinux權限

檢視預設的安全上下文

添加安全上下文

删除安全上下文

檢視端口标簽

添加端口

删除端口

修改現有端口為新标簽（隻能修改正在使用的端口）

四設定布爾型

布爾型規則：

檢視bool指令：

設定bool值指令：

五selinux日志管理

六安裝selinux的man文檔

  記住所有的selinux權限格式是很難的，我們需要selinux的幫助文檔，服務的man文檔不帶selinux權限設定幫助，這裡我們需要裝selinux的幫助文檔，

總結

  這一節内容不是很重要，服務出了問題我們一定要想着selinux對服務的影響。主要記住semanage添加目錄selinux權限，并使用restorecon使selinux權限生效，或者打開sebool；出了問題使用sealert檢視selinux的報錯資訊；不會的查詢selinux的man文檔。