一、SELINUX安全性定义

SELINUX（安全增强性Linux）是保护你系统安全性的额外机制也称为linux系统内核级加强型防火墙

在某种程度上，它可以被看作是与标准权限系统并行的权限系统，在常规模式中，以用户身份运行进程，并且系统上的文件与其它资源都舍子和了权限（控制哪些用户对哪些文件具有哪些访问权，SELINUX的另一不同之处在于，若要访问文件，你必须具有普通方

向权限和SELINUX访问权限，因此即使以超级用户root运行进程，根据进程以及文件或资源的  SELINUX 安全性上下文可能拒绝访问文件或资源）标签

二、selinux状态管理

1.selinux状态的查看

getenforce       ##查看状态

selinux的三种状态

enforcing        ##强制

disabled         ##关闭

permissive     ##警告

2.selinux状态的改变

vim  /etc/sysconfig/selinux        ##配置文件对selinux状态进行改变

reboot

setenforce 1         ##更改selinux状态为强制状态

setenforce 0         ##更改selinux状态为警告状态

注：强制和警告状态可相互切换，不需要reboot，但若开启关闭selinux插件，修改配置文件后必须进行reboot

三、文件的安全上下文设置

1.安全上下文的查看

ls -Z                                ##查看文件安全上下文

ls -Zd                              ##查看目录的安全上下文

ps auxZ | grep vsftpd      ##查看ftp的安全上下文

2.临时修改安全上下文文件，重启后失效

chcon  -t                        ##临时更改安全上下文里的文件（-R表递归）

3.永久修改安全上下文

ls -Zd   /westos/*          ##表示查看/westos目录中文件的安全上下文

semanage   fcontext   -a   -t   public_conten_t   '/westos(/.*)?'   将/westos/目录中所有文件的安全上下文更改为public_content_t类型

restorecon  -RvvF  /westos/       重新加载安全上下文列表（-R表示递归，vv表示查看过程，F表示刷新）

四、selinux的sebool值

getsebool  -a   |  grep  ftp                 ##查看selinux中服务的sebool值

setbool   -P   ftp_home_dir   on      ##打开sebool值中ftp_home_dir 功能开关

setbool   -P    ftp_home_dir   off      ##关闭sebool值中ftp_home_dir 功能开关

五、在selinux开启的情况下，实现匿名用户lftp 上传下载文件

chcon  -t修改文件标签，增加写的功能

setsebool 打开ftp匿名用户write功能

未改前的状态

经更改后的状态

将/var/ftp/pub/添加到ftp组下，并赋予其组有写的权限

原本在selinux开启的情况下，匿名用户不能上传下载文件，修改后则可以

 

六、查看selinux的错误信息

出现错误报错

cat  /var/log/messages               ##查看日志报错，并为我们提供解决报错提示

cat  /var/log/audit/audi.log          ##查看只会报错，不会为我们提供解决报错提示