安全加强的linux

SELinux：Security Enhanced Linux  安全加强的linux

DAC àMAC  

DAC：自主访问控制 （Discretionary  Access  Control ）每个用户可以随意修改自己的文件权限                  

MAC：强制访问控制 （Mandatory  Access  Control）  把权限都定义在sandbox中

C2à B1   C2  C1  B3  B2  B1  A1

（ls -Z 查看文件 及其安全上下文，统称标签）  id -Z显示当前用户类型

SELinux  Policy ：selinux策略   定义文件在/etc/selinux/targeted/policy下policy.21

strict： 严格级别        targeted：挑选性定制进程进行限定 其他对自身没影响的就不限定了

selinux就采用的是targeted这种类型      unconfined_d：未定义的类型

getsebool -a 显示所有的布尔值     布尔：在限定用户权限时定义的值（在sandbox中）

getenforce 查看当前selinux功能是否打开

在/etc/selinux/config=/etc/sysconfig/selinux中定义默认targeted类型 也定义selinux启用类型   

setenforce  1|0 设置selinux工作模式 1表示enforcing  0表示permissive 临时起效

在/etc/grub.conf设置selinux是否启用 0表示不启用 1表示启用 在内核后面加selinux 0|1

登录进来的身份标志有三种：root  user_u表示普通用户  system_u表示进程

semanage  fcontext  -l 列出所有文件可以使用的背景标签

改文件标签：chcon : change context   -t用于改变文件标签中的类型  -R递归修改，把一个目录及其子目录中的文件全部修改   --reference 把一个文件标签复制到一个文件上去

例如：chcon --reference=fstab httpd.crt 以fstab文件类型为标准把另个文件改为和他一样的类型

restorecon 后跟文件名 表示恢复文件的默认标签类型   -R（-r）表示递归修改文件的标签

setsebool 后跟文件名 on|off 打开或者关闭某个文件的布尔值 但只是临时生效 

在setsebool后加-P表示持久修改有效