enforcing 强制模式
permissive 许可模式
disabled 禁用模式
centos7在/etc/selinux/config 文件中修改selinux指令
/etc/sysconfig/selinux 是一个符号链接 指向/etc/selinux/config
enforcing (强制模式)有两种方法保护系统安全 :目标模式(targeted mode)和mls模式;selinux默认是目标模式,他让用户更精细地自定义selinux 要保护的服务。
setenforce 修改selinux状态,在/etc/selinux/config文件中修改,可以永久修改selinux状态。
semanage login -l 查看当前sellinux用户的状态
普通用户和root 用户拥有一样的用户上下文
用户角色
guest_u 不可以使用GUI,不可以网络连接,不可以访问su和sudo命令,不可以执行/home或/tmp中的文件
xguest_u 可以使用GUI,仅可以通过Firefox 浏览器连接网络,不可以执行/home或/tmp中的文件
user_u 可以使用GUI和网络连接
staff_u 可以使用GUI和网络连接以及sudo命令
sysadm_u 可以使用GUI和网络连接以及su和sudo命令
unconfned_u 系统全部访问
给用户分配角色 semanage login -a -s 角色名 用户名
user_u 角色不能使用su与sudo命令 可以用 ‘semanage -d 用户名’ 去掉
设置未来用户的默认角色 semanage -m -S targeted -s "角色名" -r s0 default
semanage 选项
-m 修改
-S 选择并替换要管理的SELinux存储
-s 设置用户角色
-r 设置安全级别
-a 增加,增加一些目录的默认安全上下文类型设置
-d 删除
原文:https://blog.51cto.com/14233189/2360687