查看selinux状态
[root@mysql50 ~]# sestatus SELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted # 仅保护常见/关键的网络服务,其他不限制 Current mode: enforcing Mode from config file: permissive Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 28
selinux模式控制
vim /etc/selinux/config
selinux=disabled | permissive | enforcing # 禁用 | 宽松/允许 | 强制
临时调整
setenfore 1 | 0 # 强制 | 宽松
getenforce # 查看当前状态
安全上下文:为文件/目录/设备标记访问控制属性
属性构成:用户:角色:访问类型:选项
-- 查看 -Z eg: ls -Z /etc/fstab
-- 修改 chcon -t: 指定访问类型 -R:递归修改
chcon --reference=path1 path2 # 参照path1修改path2的安全上下文
-- 重置 restorecon -R:递归修改
mkdir /.autorelabel # 下次重启后全部重置
一般操作规律
- 移动的文件,原有的上下文属性不变
- 复制的文件,自动继承目标位置的上下文
SELinux布尔值
-- 查看 getsebool -a # 列出所有布尔值
-- 设置 setsebool -P # 永久更改
SELinux报错
rpm -qa | grep -i setroubleshoot
grep setroubleshoot /var/log/messages