selinux

sandbox:
subject operation object
subject:进程,文件
文件：open,read,write,close,chown,chmod

subject:domain
object:type

SELinux为每个文件提供了安全标签，也为进程提供了安全标签
    user:role:type
    user:SELinux的user;
    role:角色；
    type:类型；
SELinux规则库：
    规则：哪种域能访问哪种或哪些种类型内文件；
配置SELinux：
    SELinux是否启用；
    给文件重新打标；
    设定某些布尔型开关；
    SELinux的状态：
        enforcing:强制，每个受限的进程都必然受限；
        permissive:允许，每个受限的进程违规操作时不会被禁止，但会被记录到日志；
        disabled:关闭
    相关命令：
        getenforce:
        setenforce 0|1
    给文件重新打标：
        chcon [OPTION]...CONTEXT FILE...
        chcon [OPTION]...[-u USER] [-r ROLE] [-t TYPE] FILE...
        chcon [OPTION]...--reference=FILE FILE...
    还原文件的默认标签：
        restorecon
        
        getsebool
        setsebool [-P] boolean value | bool1=val1 bool2=val2 ... 永久生效