SElinux的介绍及配置

SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统

SELinux安全增强型Linux系统，是Linux内核子系统，旨在最大限度的减少服务进程对文件、端口等资源的访问

一、SELinux/Firewall防护

SELinux ===》提供系统防护 //内核的功能模式

Firewalld ===》提供网络防护 //通过系统服务 firewalld

1、Security Enhanced Linux，安全增强型Linux系统

++ 比如 Web 服务，对外提供网页（默认应该 /var/www/ .. ..）

++ 比如 Web 服务，通过标准端口（80、8080等少数端口）对外提供服务

2、SElinux三种运行状态

++ Enforcing，强制（严格按策略执行保护）

++ Permissive，宽松（若有违规会记录，但不做真正限制）

++ Disabled，禁用（内核不加载SELinux）

3、如何切换不同的SELinux运行状态：

[root@A ~]# getenforce //查看selinux 状态，发现是强制开启模式

Enforcing ：强制开启

[root@A ~]# setenforce 0 //修改selinux 状态，修改为宽松模式（临时生效）

[root@A ~]# getenforce //查看状态，发现已改为宽松模式

Permissive ：宽松

[root@A ~]# setenforce 1 //再次修改selinux 状态， 修改为强制开启模式（临时生效）

[root@A ~]# getenforce //再次查看状态，发现已强制开启

Enforcing

++ 立即在 Enforcing 和 Permissive 之间切换（前提：当前状态不能是Disabled）

  // 1 对应Enforcing，0 对应 Permissive

备注：使用setenforce 修改状态，只是临时生效，系统重启后的状态是/etc/selinux/config 的状态

         如果，/etc/selinux/config 的状态是  enforcing  重启后就是enforcing如果，/etc/selinux/config 的状态是  disabled   重启后就是disabled  如果，重启后状态是  disabled  后，就代表selinux 被禁用，就无法在使用setenforce 修改状态了

++ 设置开机后的默认SELinux状态

[root@A ~]# vim /etc/selinux/config

SELINUX=三种状态中的某一种