selinux最初是有美国国家安全局开发的用于防止系统资源误用的.
更改selinux状态,如果selinux是开启的可以使用setenforce 0/1来切换enforcing和permissive状态
如果selinux是关闭的,需要开启, 修改配置文件/etc/selinux/config 然后查
看/boot/grub/menu.lst里面确保kernel那一行后面没有selinux=0
,接下来重新启动,selinux从开启到关闭或者从关闭到开启 要重启
使用ls -Z来查看文件的安全上下文
drwxr-xr-x root root root:object_r:user_home_t Desktop
所示,为冒号分开的三个字段
第一个字段身份表示有三种
root 表示root的帐号身份
system_u 一般指进程
user_u 一般用户
第二个字段,说明这个数据是属于程序,文件资源还是代表用户,有两种
object_r 代表目录或者文件资源
system_r 代表进程或者一般用户
第三个字段是类型,也是最重要的如果将这个字段写成1_2_3,
我的理解是:文件如果是属于1这个用户或者进程的,则这个文件只有具有1开头的这种安全上下文类型,1这个用户或者进程才能够正确调用,否则会被selinux挡掉
使用ps -Z来查看进程的安全上下文
修改安全上下文 chcon -R -t 安全上下文类型 文件/目录
chcon --reference=文件/目录 文件/目录 将某个文件当作范例来修改后面的文件
restorecon -Rv 文件/目录 还原文件上下文
启动setroubleshoot进程,将selinux报错记录到/var/log/messages中
使用seinfo来查询selinux的相关策略,有两种策略,targeted(默认策略),strict(严格的selinux限制)
查询布尔值的状态 getsebool 布尔值,状态有开启和关闭两种
设置布尔值的状态 setsebool -P 布尔值=0/1
目录默认的安全上下文的查询和修改
查询: semanage fcontext -l
设置一个目录的默认安全上下文 semanage fcontext -a -t 安全上下文 目录 本文出自 “成长全记录” 博客,请务必保留此出处http://lymrg.blog.51cto.com/1551327/544850
|
