Linux的高级权限管理SELINUX

SELinux:
ps -Z 查看进程的域
ls -Z 查看文件的上下文

SELinux通过定义策略来控制哪些域可以访问哪些上下文
Linux有很多策略，一般不需定义，除非我们需要定义一些自己的程序，自己的服务
Centos/RHEL 使用预置的目标（target）策略

目标（Target）策略定义只有目标进程受到SELinux限制，其他进程运行在非限制模式下。目标策略只影响网络应用程序。

SELinux有三种工作模式：
强制（enforcing)
违反策略的行动都被禁止，并作为内核信息记录
允许（permissive)
违反策略的行动都不被禁止，但是会产生警告信息
禁用（disabled）
禁用SELInux，与不带SELinux功能的系统一样

SELinux模式的配置文件为：/etc/sysconfig/selinux:
SELINUX=permissive
命令getenforce可以查看当前SELinux工作状态：
getenforce
命令setenforce可以设置当前SELinux工作状态：
setenforce[0|1]

ps/ls -Z:
system_u:object_r:httpd_exec-t:s0
用户      角色     类型         MLS、MCS

linux操作时，有可能改变文件的上下文，如复制，移动，创建文件等。
恢复上下文：
restorecon -R -v /var/www(Linux默认一些目录，即开始就默认存在的目录，Linux会记录这些目录的上下文)
命令chcon可以用以改变文件的上下文：
chcon --reference=/etc/named.conf.orlg /etc/named.conf (修改/etc/named.conf文件上下文参照/etc/named.conf.orlg文件的上下文）