·配置SELinux：

SELinux是否启用

给文件重新打标

给端口设置安全标签

设定某些操作的布尔型特性

SELinux的日志管理

1、SELinux的状态：

·enforcing：强制，每个受限的进程都必然受限

·permissive：启用，每个受限的进程违规操作不会被禁止，但会被记录于审计日志

·disabled：关闭

·相关命令：

sestatus

查看selinux的状态

getenforce：获取当前selinux状态

setenforce 0|1

0：设置为permissive

1：设置为enforcing

此设定：重启系统后无效

配置文件：

/etc/selinux/config，/etc/sysconfig/selinux

SELinux={disabled|permissive|enforcing}

/boot/grub/grub.conf

在kernel行追加内核参数：使用selinux=0禁用SELinux

2、给配置文件重新打标：

chcon

chcon [OPTION]… CONTEXT FILE…

chcon [OPTION]… [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE…

chcon [OPTION]… –reference=RFILE FILE…

-R：递归打标

3、还原文件的默认标签：

restorecon [-R] /path/to/somewhere

4、默认安全上下文查询与修改

·需要用到的包：semanage来自policycoreutils-python包

·查看默认的安全上下文

semanage fcontext –l

·添加安全上下文

semanage fcontext -a –t httpd_sys_content_t '/testdir(/.*)?'

restorecon –Rv /testdir

·删除安全上下文

semanage fcontext -d –t httpd_sys_content_t '/testdir(/.*)?'

·查看端口标签

semanage port –l

·添加端口

semanage port -a -t port_label -p tcp|udp PORT

semanage port -a -t http_port_t -p tcp 9527

·删除端口

semanage port -d -t port_label -p tcp|udp PORT

semanage port -d -t http_port_t -p tcp 9527

·修改现有端口为新标签

semanage port -m -t port_label -p tcp|udp PORT

semanage port -m -t http_port_t -p tcp 9527

5、布尔型规则：

getsebool

setsebool

·查看bool值命令：

getsebool [-a] [boolean]

semanage boolean –l

semanage boolean -l –C

·设置bool 值命令：

setsebool [-P] boolean value (on,off)

setsebool [-P] Boolean=value (0 ，1)

6、SELinux日志管理：

安装包：yum install setroublesshoot* (重启生效)

将错误的信息写入/var/log/message

grep setroubleshoot /var/log/messages

sealert -l UUID

查看安全事件日志说明

sealert -a /var/log/audit/audit.log

扫描并分析日志

7、SELinux帮助：

yum -y install selinux-policy-devel (centos7)

yum -y install selinux-policy-doc  (centos6)

mandb | makewhatis

man -k _selinux