基于Linux的selinux的初级管理

一、Selinux三个模式

Enforcing 强制(强制模式)— SELinux 策略强制执行，基于 SELinux 策略规则授予或拒绝主体对目标的访问
Permissive 宽容(警告模式)— SELinux 策略不强制执行，不实际拒绝访问，但会有拒绝信息写入日志
Disabled 禁用(关闭模式)— 完全禁用SELinux

1、临时修改
首先使用getenforce 查看当前的selinux的状态
setenforce 0|1 ##更改selinux运行级别,（0表示Permissive，1表示Enforcing ）。临时修改无法禁用selinux

2、永久修改
vim /etc/sysconfig/selinux
selinux=disabled ##关闭状态
selinux=Enforcing ##强制状态
selinux=Permissive ##警告状态
但是这种修改形式，需要重启虚拟机才能生效

二、更改文件安全上下文

在/mnt下建立文件，并将date写入。再将其移动至/var/www/html下

利用网页访问/var/www/html下文件，在正常情况下是可以直接访问http：localhost/XXX.html。
利用这种方式访问，从/mnt中移动至/var/www/html文件

此时访问被禁止，是因为从/mnt中转移的文件并没有seliux相应的权限。
此时我们有两种方式解决该问题
方法一
将selinux调至Permissive 模式

方法二
修改该文件的标签，查看/var/www/html文件夹自身的文件的标签，并以此来修改原/mnt下的文件的标签

chcon -t 安全上下文 文件


该方式仅为临时修改。我们可以永久修改其标签
semanage fcontext -l ##列出内核安全上下文列表内容
利用grep仅抓取与www相关的内容

semanage fcontext -a -t public_content_t ‘/publicftp(/.*)?’
restorecon -FvvR /publicftp/ 永久修改标签，并显示过程

实现对文件的标签修改后，我们尝试修改文件夹标签。


在根目录下建立，再以匿名用户访问。虽然访问成功，但是不能看到该目录下的文件，说明该目录的标签不符合seliux的权限
查看正确标签，并以此修改目标根目录

该目录下存在文件，因此，在修改标签时需加-R（递归）。

在完成标签修改后，再次访问localhost

此时便能正常访问