SELinux安全防护详解

1、SELinux策略集,SELINUXTYPE=targeted

推荐，仅保护最常邮包/关键的网络服务，其它不限制。

主要软件包：  selinux-policy   selinux-policy-targeted,   libselinux-utils,

coreutils,  policycoreutils 

2、SELinux策略集,SELINUXTYPE=mls

提供多层次，全面的安全防护策略，需要扩展软件包。

selinux-policy-mls,  mcstrans,  policycoreutils-newrole

3、SELinux开关控制，方法一，修改kernel启动参数，  添加selinux=0以禁用，

添加selinux=1以启用。setenforce命令为临时调整 

4、SELinux开关控制，方法二，修改文件 /etc/selinux/config

设置 SELINUX=disabled以禁用

设置 SELINUX=permissive宽松/允许模式

设置 SELINUX=enforcing强制模式

5、查看安全上下文,为文wrh/目录/设备标记访问控制属性，

属性构成格式   用户：角色:访问类型:选项.....

6、修改安全上下文，使用chcon工具，参数-t 指定访问类型，  -u，-r 分别用来指定用户，角色。 -R递归修改。其一般的操作是移动文件，原有的上下文属性不变， 复制的文件，自动继承目标位置的上下文。

7、重置安全上下文， 恢复为所在位置的默认上下文属性，使用restorecon工具，

/.autorelabel文件，下次重启后全部重置。

8、调整SELinux布尔值，使用getsebool查看 -a参数列出所有布尔值

使用setsebool设置，-P参数永久列改，重启后仍然有效。