SELinux安全扩展

SELinux
。强制访问控制（MAC）-vs-随意访问控制（DAC）
。规则集也叫做策略，它决定了如何严格控制
。进程要么受限制要么未定义
。策略定义哪一个资源限制哪一个进程可以访问
。缺省，任何没有定义的行为都被拒绝

SELInux续
。所有的文件和进程都有一个安全上下文属性
。属性有着几个元素，按照安全的需要
    。用户：角色：类型：敏感级别：分类
    。user_u：object_r：tpm_t：s0：c0
    。不是所有的系统都显示s0：c0
        ls -Z
        ps -Z
            。通常与其他选项一起使用，比如-e

SELinux：目标策略
。在安装的时候就装载了目标策略
。很多本地进程都为unconfined未定义
。很多类型强制性规则
。可以通过chcon修改安安上下文属性
    。chcon -t tmp_t /etc/hosts
。使用restorecon还原
    。restorecon /etc/hosts

SELinux：管理
。模式：强制，默许，关闭
    。可以改变目标策略强制性
    。getenforce
    。setenforce 0|1
    。从GRUB中禁用selinux=0
。/etc/sysconfig/selinux
。system-config-securitylevel
    。改变模式，禁用时需要重启
。system-config-selinux
    。布尔值
。setoubleshootd
    。提议如何避免错误，但不能确保安全
排错顺序：
网络/防火墙；配置文件；文件权限；selinux　　

vim /etc/sysconfig/selinx   永久修改SELINUX模式 　　

开机关闭selinux：vim /etc/grub.conf内核kernel最后一段传入参数selinux=0　　

#getsebool -a　| grep ftp　//查看selinux布尔值，可以通过布尔值过滤单独服务来改变布尔值

#setsebool -P ftp_home_dir=1 //修改ftp_home_dir永久为1，其中-P参数为永久修改。

也可以通过修改文件 /selinux/booleans去修改，建议通过命令模式修改。