linux 下 etcselinux 这个文件夹 没有 是什么原因？

1你要先用uname

-r命令查看下内核版本，selinux是2.6版本内核的linux版本提供的强制访问控制系统。2.如果你用神州的是Red

Hat

Linux9.0是没有这个selinux

的。3.selinux默认安装在fedora和Red

Hat

Enterprise

Linux上面。4.使用绝对路径.selinux是有一个文培戚件，文件是在/etc/sysconfig/下面有个配瞎陵selinux文件。卢韬旭

如果要bai恢复运行SELinux则可以运行

# setenforce

1

这条命令会把SELinux设定du成Enforcing模式

2.把SELinux永久设zhi定为Permissive模式

这里需要讲一下daoPermissive和Enforcing模式的肆滚卖区别。

SELinux有三种模式：Enforcing, Permissive and Disable.

Enforcing模式就是应用SELinux所设定的Policy,

所有违反Policy的规则(Rules)都会被SELinux拒绝

Permissive和Enforcing的区别就在于它还是会遵循SELinux的Policy,但是对于违反规则的 *** 作只会予以记录而并不会拒绝 *** 作

Disable 顾名思义就是完全禁用SELinux

如果要永久设定为Permissive模式，我们就要修改SELinux的配置文件

/裂逗etc/sysconfig/selinux (在备腔RHEL5下这是一个symbolic link to /etc/selinux/conf)

# This file controls the state of SELinux on the

system.

# SELINUX= can take one of these three

values:

# enforcing - SELinux security policy is

enforced.

# permissive - SELinux prints warnings instead of

enforcing.

# disabled - SELinux is fully disabled.

SELINUX=enforcing

#

SELINUXTYPE= type of policy in use. Possible values are:

# targeted -

Only targeted network daemons are protected.

# strict -

Full SELinux protection.

SELINUXTYPE=targeted

修改SELINUX=permissive,然后重新启动就可以了

Security-Enhanced Linux ，是美国国家安全局(NSA=The National Security Agency)和SCC(Secure Computing Corporation)开发的 Linux的一个强制访问控制的安全模块。2000年以GNU GPL发布，Linux内核 2.6版本后集成在内核中

DAC：Discretionary Access Control自由访问控拿桥制

MAC：Mandatory Access Control 强制访问控制

对象(object)：所有可以读取的对象，包括文件、目录和进程，端口等

主体：进程称为主体(subject)

SELinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋 予各自的一个domain的标签。domain标签能够执行的 *** 作由安全策略里定义

当一个subject试图访问一个object，Kernel中的策略执行服务器将检查AVC (访 问矢量缓存Access Vector Cache), 在AVC中，subject和object的权限被缓存 (cached)，查找“应用+文件”的安全环境。然后根据查询结果允许或拒绝访问

安全策略：定义主体读取对象的规则数消裂猛据库，规则中记录了哪个类型的主体使用 哪个方法读取哪一个对象是允许还是拒绝的，并且定义了哪种行为是充许或拒绝

SELinux有四种工作类型：

targeted为默认类型，minimum和mls稳定性不足，未加以应用，strict已不再 使用

传统Linux，一切皆文件，由用户，组，权限控制访问

在SELinux中，一切皆对象（object），由存放在inode的扩展属性域的安全元 素所控制其访问

所有文件和端口资源和进程都具备安全标签：安全上下文源镇（security context） 安全上下文有五个元素组成：

user:role:type:sensitivity:category

user_u:object_r:tmp_t:s0:c0

实际上下文：存放在文件系统中，ls –Zps –Z

期望(默认)上下文：存放在二进制的SELinux策略库（映射目录和期望安全上下 文）中

semanage fcontext –l

配置SELinux:

SELinux的状态：

相关命令：

getenforce: 获取selinux当前状态

sestatus :查看selinux状态

setenforce 0|1

配置文件:

/boot/grub/grub.conf 在kernel行使用selinux=0禁用SELinux

/boot/grub2/grub.cfg 在linux16行使用selinux=0禁用SELinux

/etc/selinux/config

/etc/sysconfig/selinux

给文件重新打安全标签：

chcon [OPTION]… [-u USER] [-r ROLE] [-t TYPE] FILE…

chcon [OPTION]… --reference=RFILE FILE…

恢复目录或文件默认的安全上下文：

restorecon [-R] /path/to/somewhere

semanage：来自policycoreutils-python包

查看默认的安全上下文

semanage fcontext –l

添加安全上下文

semanage fcontext -a –t httpd_sys_content_t ‘/testdir(/.*)?’ restorecon –Rv /testdir

删除安全上下文

semanage fcontext -d –t httpd_sys_content_t ‘/testdir(/.*)?’

查看端口标签

semanage port –l

添加端口

semanage port -a -t port_label -p tcp|udp

PORT

semanage port -a -t http_port_t -p tcp 9527

删除端口

semanage port -d -t port_label -p tcp|udp

PORT

semanage port -d -t http_port_t -p tcp 9527

修改现有端口为新标签

semanage port -m -t port_label -p tcp|udp

PORT

semanage port -m -t http_port_t -p tcp 9527

布尔型规则：

getsebool

setsebool

查看bool命令：

getsebool [-a] [boolean]

semanage boolean –l

semanage boolean -l –C 查看修改过的布尔值

设置bool值命令：

setsebool [-P] boolean value（on,off）

setsebool [-P] Boolean=value（1，0）

yum install setroubleshoot（重启生效）

将错误的信息写入/var/log/message

grep setroubleshoot /var/log/messages

查看安全事件日志说明

sealert -l UUID

扫描并分析日志

sealert -a /var/log/audit/audit.log

---