SElinux的预设policy有两种，其一是strict（完全限制的SElinux保护），另外一种就是今天要分析的targeted（仅对网络服务限制严格的SElinux），性能优良的linux系统往往被用作服务器的搭建平台，所以系统的安全十分的重要，然而在linux平台的防护措施也十分的多，像iptables，pam，acl.....等等，这里要说的selinux同样值得信赖！

这里学习的是在规则targeted下的一些常用操作

1、查看本机的selinux的状态

[root@localhost ~]# sestatus （查看本机的selinux状态） SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 21 Policy from config file: targeted

这里的mode又分为三种：

（1）、enforcing（这个状态是开启selinux的限制，这个状态下selinux真正的起作用，当某些行为不符合selinux的规则时，直接给它down掉）

（2）、 permissive（这个状态也是开启selinux，这个状态是宽容模式，当某些行为不符合selinux的规则时，发出警告而不是限制）

（3）、disabled （这个状态就是关闭selinux）

2、修改本机的selinux的状态

讯享网[root@localhost ~]# getenforce (还可以通过这个指令来查看本机的selinux的状态) Enforcing

改变selinux的状态可以通过修改两个文档，但是在状态切换的过程中，每次状态的改变必须重启系统，因为系统内核读取的是selinux的二进制的文件，通过系统的重启，把selinux的规则二进制重写，以便系统内核可以顺利读取。

[root@localhost ~]# vi /etc/selinux/config （其一在这里修改） # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - SELinux is fully disabled. SELINUX=enforcing # SELINUXTYPE= type of policy in use. Possible values are: # targeted - Only targeted network daemons are protected. # strict - Full SELinux protection. SELINUXTYPE=targeted

或者在以下文档修改

讯享网[root@localhost ~]# vi /etc/sysconfig/selinux （规则修改，重启系统之后，这两个我文档的内容是一模一样的）

另外如果是在状态enforcing和permissive之间切换时，不仅无需重启系统，而且还可以通过简单的指令来完成

[root@localhost ~]# setenforce （后接下边状态对应的数值即可，1表示开启，0表示宽容） usage: setenforce [ Enforcing | Permissive | 1 | 0 ]

3、与服务相关的targeted规则

讯享网[root@localhost ~]# seinfo （Booleans即是规则（这里成为布林值）的数目，257条） Statistics for policy file: /etc/selinux/targeted/policy/policy.21 Policy Version & Type: v.21 (binary, MLS) Classes: 61 Permissions: 220 Types: 1785 Attributes: 166 Users: 3 Roles: 6 Booleans: 257 Cond. Expr.: 240 Sensitivities: 1 Categories: 1024 Allow:  Neverallow: 0 Auditallow: 42 Dontaudit: 7071 Role allow: 5 Role trans: 0 Type_trans: 2093 Type_change: 0 Type_member: 0 Range_trans: 433 Constraints: 47 Validatetrans: 0 Fs_use: 19 Genfscon: 74 Portcon: 328 Netifcon: 0 Nodecon: 8 Initial SIDs: 27

另外可以通过#seinfo -h查看一些seinfo的参数和用法

对seinfo查询出来的布林规则可以通过指令sesearch做进一步的深入探索

sesearch的常用参数（详尽参数可以求助man）

-a：流出所有的相关信息

-b：后接相关的布林值

-t：后接服务的类别

-h：查看帮助文档

4、布林值的搜索和修改

讯享网

（1）、布林值的搜索（通过指令getsebool， 参数只有-a，可以结合管道命令过虑出自己需要的）

[root@localhost ~]# getsebool -a|grep ftp allow_ftpd_anon_write --> off allow_ftpd_full_access --> off

2）、布林值的修改（通过指令setsebool ，参数只有-P，后接要修改的布林值）

讯享网[root@localhost ~]# setsebool -P ftp_home_dir=1（这两个指令的作用一模一样，都是打开ftp的用户的登录的家目录的selinux的规则，让登录用户可以使用自己的家目录（PAM的规则）） 

或者

[root@localhost ~]# setsebool -P ftp_home_dir on

5、目录预设的安全性文本的查询和修改

这里要用到的指令只有一个：semanage，只是结合不同的参数来完成查询以及修改的工作

参数

讯享网-a, --add 增加规则 -d, --delete 删除规则 -m, --modify 修改规则 -l, --list查看规则，结合相关的选项（fcontext）

（1）、查询文件夹的布林规则

[root@localhost ~]# semanage fcontext -l|grep /var/www/（查看预设的apache相关的的selinux的规则) /var/www/svn/conf(/.*)? all files system_u:object_r:httpd_sys_content_t:s0 （我们的httpd的主要设置档在conf下） [root@localhost ~]# cd /var/www [root@localhost www]# ll -Z drwxr-xr-x root root system_u:object_r:httpd_sys_content_t www（是不是发下type相同呢？都是httpd_sys_content_t） 

主要限制的就是这些复杂的type啦，其中身份识别(root system_u)和角色(object_r)只起到辅助的作用

（2）、规则的修改（仍然有两种方式）

首先通过指令chcon

参数

讯享网-R 递归的修改 -u 后接相应的身份 -t 后接相应的类别 -r 后接相应的role

例如：

[root@localhost ~]# cd /home/ [root@localhost home]# ll -Z drwxr-xrwx root root user_u:object_r:user_home_dir_t public [root@localhost home]# chcon -t httpd_sys_content_t public/（修改的动作） [root@localhost home]# ll -Z drwxr-xrwx root root user_u:object_r:httpd_sys_content_t public

另外可以通过指令restorecon来尝试恢复成预设值，但是不一定会成功

然后就是通过指令semanage

讯享网[root@localhost ~]# semanage fcontext -a -t public_content_t "/srv/samba(/.*)?"（这个指令不要乱操作哦，意思就是尽量不修改不常用的文件夹的预设值）

同样的也可以通过指令restorecon来尝试恢复成预设值，但是不一定会成功