# mount -o remount,noexec,nodev /dev/shm

步骤二：永久禁止 /dev/shm 目录的执行权限

2.1 修改 /etc/fstab 配置文件

# vim /etc/fstab

添加以下内容：

......
/dev/shm             /dev/shm   tmpfs  defaults,rw,remount,noexec,nodev  0  0

2.2 让修改的配置生效

# mount -a

步骤三：确认 /dev/shm 目录的执行权限已被禁止

# mount | grep -E '\s/dev/shm\s' | grep -v noexec ; mount | grep -E '\s/dev/shm\s' | grep -v nodev

（补充：当没有任何输出结果时，则代表 /dev/shm 目录的执行权限已被禁止）

黑客在入侵前往往会先对整个网络进行扫描，尝试发现我们的系统。在这个阶段我们可以尝试的防范措施有：

1) 关闭 ICMP 协议，让黑客无法通过 ping 发现我们的系统
2) 关闭所有不需要的端口
3) 通过防火墙只让允许访问的 IP 地址访问对应的端口
4) 让防火墙使用 drop 操作丢掉所有没有被允许的访问请求

黑客列举阶段和黑客立足阶段

黑客在发现了我们的系统之后。会根据我们系统和软件的版本，列举不同的破解方法并进行取舍，并最终会选择一种或多种方法进行尝试。在这两个阶段我们可以尝试的防范措施有：

1) 不使用盗版的系统和软件
2) 不使用有漏洞的系统和软件
3) 尽量将所有的系统和软件升级到最新的版本
4) 删除所有非必须的软件
5) 在用户尝试登录系统时，取消显示系统的版本
6) 删除或禁用所有不需要的用户
7) 让所有的用户都使用复杂的密码
8) 定期检查和修改所有用户的密码
9) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
10) 限制错误密码尝试的次数，以防止暴力破解
11) 定期检查系统防火墙策略
12) 定期检查系统开启的所有端口
13) 定期检查系统开启的所有进程
14) 定期查看 /var/log/message 中的尝试登录失败的日志记录

黑客保持持久性阶段

黑客在成功进入系统以后，会尝试为自己下次进入系统准备方法，以让入侵保持持久性。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志

黑客掩盖痕迹阶段

黑客让入侵保持持久性后，会尝试掩盖自己的痕迹。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志，注意日志的时间是否连贯
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志，注意日志的时间是否连贯

1.1 在 audit 添加监控 SELinux 配置文件的规则

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-w /etc/selinux/ -p wa -k MAC-policy
-w /usr/share/selinux/ -p wa -k MAC-policy

1.2 让添加的监控 SELinux 配置文件的规则生效

# service auditd restart

1.3 确认添加的监控 SELinux 配置文件的规则已生效

# auditctl -l | grep -i selinux

内容二：监控 AppArmor 配置文件

2.1 在 audit 添加监控 AppArmor 配置文件的规则

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-w /etc/apparmor/ -p wa -k MAC-policy
-w /etc/apparmor.d/ -p wa -k MAC-policy

2.2 让添加的监控 AppArmor 配置文件的规则生效

# service auditd restart

2.3 确认添加的监控 AppArmor 配置文件的规则已生效

# auditctl -l | grep -i apparmor

1.1 设置 audit 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下：

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......

（
补充：这里以
1) 开启 audit 日志 （local_events = yes） （write_logs = yes）
2) 将 audit 日志写入 /var/log/audit/audit.log 文件 （log_file = /var/log/audit/audit.log）
3) audit 日志每达到 8M 大小就将旧的 audit 日志进行备份并创建新的 audit 日志 （max_log_file = 8） （max_log_file_action = ROTATE），也可以修改成： max_log_file_action = keep_logs
4) 旧的 audit 日志保存 5 份 （num_logs =5）
为例
）

1.2 让设置的 audit 时间生效

# service auditd restart

方法二：通过 logrotate 配置文件设置

2.1 设置 audit 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容：

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}

（
补充：这里以：
1) 备份的日志文件保留 30 份 （rotate 30）
2) 每天将现在的日志文件进行备份并生成新的日志文件 （dayly）
）

2.2 让设置的 audit 时间生效

# systemctl restart logrotate.service

# vim time_format_conversion.pl

创建以下内容：

s/(1\d{9})/localtime($1)/e

（补充：这里以创建名为 time_format_conversion.pl 的用于转换 audit 日志时间格式的脚本为例）

步骤二：转换 audit 日志时间格式

# cat /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# less /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# more /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# head /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# tail /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# tail -f /var/log/audit/audit.log | perl -p time_format_conversion.pl

（补充：这里以使用名为 time_format_conversion.pl 的用于转换 audit 日志时间格式的脚本为例）

1.1 在 audit 的策略里添加要监控的目录或文件

1.1.1 案例一：监控某个目录以及目录下的目录和文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -F dir=/tmp -F perm=rwxa

（补充：这里以监控目录 /tmp 里的目录和文件为例）

1.1.2 案例二：监控某个文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -S unlink -S unlinkat -S rmdir -S rename -S renameat -F path=/dev/null

（补充：这里以监控目录 /dev/null 文件为例）

1.2 让监控目录或文件的配置生效

# service auditd restart

步骤二：显示 audit 监控记录

# cat /var/log/audit

（
补充：记录里的
1) nametype=CREATE 字段代表创建
2) nametype=NORMAL 字段代表普通
3) nametype=DELETE 字段代表删除
）

或者：

# sudo ausearch -i -k user-modify

（补充：这里以显示文件被修改的记录为例）

# ls -ld /usr/local/bin /usr/local/sbin /usr/bin/ /usr/sbin
dr-xr-xr-x. 2 root root 53248 Jun 24 15:09 /usr/bin/
drwxr-xr-x. 3 root root  4096 Jun 21  2021 /usr/local/bin
drwxr-xr-x. 2 root root     6 Jun 21  2021 /usr/local/sbin
dr-xr-xr-x. 2 root root 20480 Jun 24 15:09 /usr/sbin

如果在系统中没有 /etc/cron.deny 配置文件，在 /etc/cron.allow 配置文件中添加要使用 crontab -e 命令的用户

# vim /etc/cron.allow

添加以下内容：

......
zhumingyu

（补充：这里以添加用户 zhumingyu 为例）

如果在系统中没有 /etc/cron.allow 配置文件，在 /etc/cron.allow 配置文件中删除要使用 crontab -e 命令的用户

# vim /etc/cron.allow

删除以下内容：

......
zhumingyu
......

（补充：这里以删除用户 zhumingyu 为例）

# mount -o remount,nosuid,nodev,noexec /dev/shm

（补充：这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例）

内容二：开机自动重新挂载目录

# vim /etc/fstab

添加以下内容：

......
tmpfs /dev/shm tmpfs defaults,nosuid,nodev,noexec 0 0

（补充：这里以带 nosuid、nodev 和 noexec 参数重新挂载 /dev/shm 目录为例）

# cat /etc/group

（注意：此方法并不能显示出把这些所属组当作主要所属组的用户）

方法二：通过 /etc/passwd 配置文件和 id 命令等显示主要所属组和附属所属组

# for i in `cat /etc/passwd | egrep -v "nologin$|false$|half|sync|shutdown|halt" | awk -F: '{print $1}'`; do id $i; done | sort -k2

（补充：可以通过肉眼比对此命令的输出结果来判断其主要所属组和附属所属组）

1.1 修改 /etc/sysctl.conf 文件

# vim /etc/sysctl.conf

添加以下内容：

......
fs.protected_hardlinks = 1
fs.protected_symlinks = 1

1.2 设置系统正在运行的 fs.protected_symlinks 参数和 fs.protected_hardlinks 参数

# sysctl -w fs.protected_symlinks = 1
# sysctl -w fs.protected_hardlinks = 1

步骤二：显示软硬链接保护的开启状态

2.1 显示 /etc/sysctl.conf 文件里的 fs.protected_symlinks 参数和 fs.protected_hardlinks 参数

# grep "fs\.protected_hardlinks" /etc/sysctl.conf /etc/sysctl.d/*
fs.protected_hardlinks = 1

# grep "fs\.protected_symlinks" /etc/sysctl.conf /etc/sysctl.d/*
fs.protected_symlinks = 1

2.2 显示系统正在运行的 fs.protected_symlinks 参数和 fs.protected_hardlinks 参数

# sysctl fs.protected_symlinks
fs.protected_symlinks = 1
# sysctl fs.protected_hardlinks
fs.protected_hardlinks = 1

# touch test.txt

（补充：这里以创建 test.txt 文件为例）

步骤二：加密压缩文件或目录

2.1 交互式加密压缩文件或目录

# tar -zcf - test.txt | openssl des3 -salt | dd of=test1.tar.gz
enter des-ede3-cbc encryption password:
Verifying - enter des-ede3-cbc encryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
0+1 records in
0+1 records out
224 bytes copied, 7.04902 s, 0.0 kB/s

（
补充：
1) 这里以将 test.txt 文件加密压缩成 test1.tar.gz （压缩）包为例
2) 如果要以 bzip2 的格式进行压缩，则将命令中的 -zcf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果要以 xz 的格式进行压缩，则将命令中的 -zcf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz
）

2.2 非交互式加密压缩文件或目录

# tar -zcf - test.txt | openssl des3 -salt -f eternalcenter | dd of=test2.tar.gz
des3: Unrecognized flag f
des3: Use -help for summary.
0+0 records in
0+0 records out
0 bytes copied, 0.00376576 s, 0.0 kB/s

（
补充：
1) 这里以将 test.txt 文件加密压缩成 test1.tar.gz （压缩）包并且将密码设置为 eternalcenter 为例
2) 如果要以 bzip2 的格式进行压缩，则将命令中的 -zcf 换成 -jcvf 将 test1.tar.gz 换成 test2.tar.bz2
3) 如果要以 xz 的格式进行压缩，则将命令中的 -zcf 换成 -Jcvf 将 test1.tar.gz 换成 test2.tar.xz
）

步骤三：解压加密文件或目录

3.1 交互式解压加密文件或目录

3.1.1 删除原测试目录和里面的文件

# rm -rf test.txt

（补充：这里以删除 test.txt 文件为例）

3.1.2 交互式解压加密文件或目录

# dd if=test2.tar.gz | openssl des3 -d | tar zxf -
0+1 records in
0+1 records out
224 bytes copied, 0.000589721 s, 380 kB/s
enter des-ede3-cbc decryption password:
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.

（
补充：
1) 这里以解压 test2.tar.gz （压缩）包为例
2) 如果是 bzip2 格式的（压缩）包，则将命令中的 -zxf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果是 xz 格式的（压缩）包，则将命令中的 -zxf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz
）

3.2 非交互式解压加密文件或目录

3.2.1 删除原测试目录和里面的文件

# rm -rf test.txt

（补充：这里以删除 test.txt 文件为例）

3.2.2 非交互式解压加密文件或目录

# dd if=test1.tar.gz | openssl des3 -d -k eternalcenter | tar zxf -
0+1 records in
0+1 records out
224 bytes copied, 0.000574539 s, 390 kB/s
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.

（
补充：
1) 这里以解压 test1.tar.gz （压缩）包并且解压密码为 eternalcenter 为例
2) 如果是 bzip2 格式的（压缩）包，则将命令中的 -zxf 换成 -jcvf 将 test1.tar.gz 换成 test1.tar.bz2
3) 如果是 xz 格式的（压缩）包，则将命令中的 -zxf 换成 -Jcvf 将 test1.tar.gz 换成 test1.tar.xz
）

# mkdir test
# touch test/test.txt

（补充：这里以创建 test 目录和里面的 test.txt 文件为例）

步骤二：加密压缩文件或目录

2.1 交互式加密压缩文件或目录

# zip -re test1.zip test
Enter password: 
Verify password: 
  adding: test/ (stored 0%)
  adding: test/test.txt (stored 0%)

（补充：这里以将 test 目录和里面的 test.txt 文件加密压缩成 test1.zip （压缩）包为例）

2.2 非交互式加密解压文件或目录

# zip -rP eternalcenter test2.zip test
  adding: test/ (stored 0%)
  adding: test/test.txt (stored 0%)

（补充：这里以将 test 目录和里面的 test.txt 文件加密压缩成 test2.zip （压缩）包并且将密码设置为 eternalcenter 为例）

步骤三：解压加密文件或目录

3.1 交互式解压加密文件或目录

3.1.1 删除原测试目录和里面的文件

# rm -rf test

（补充：这里以删除 test 目录和里面的文件为例）

3.1.2 交互式解压加密文件或目录

# unzip test2.zip
Archive:  test2.zip
   creating: test/
[test2.zip] test/test.txt password: 
 extracting: test/test.txt

（补充：这里以解压 test2.zip （压缩）包为例）

3.2 非交互式解压加密文件或目录

3.2.1 删除原测试目录和里面的文件

# rm -rf test

（补充：这里以删除 test 目录和里面的文件为例）

3.2.2 非交互式解压加密文件

# unzip -P eternalcenter test1.zip 
Archive:  test1.zip
   creating: test/
 extracting: test/test.txt  

（补充：这里以解压 test2.zip （压缩）包并且解压密码为 eternalcenter 为例）

# cp /usr/bin/rm  /usr/bin/rm.original

步骤二：创建一个记录 rm 命令使用的脚本

# cat /usr/bin/rm
#!/bin/bash
log=/var/log/rm_command.log
echo "The $$ is calling rm command" >> $log
echo "The full command is $*" >> $log
echo
echo "now use this command to get more information: /bin/ps axwwo user,pid,ppid,%cpu,%mem,vsz,rss,stat,time,cmd" >>$log
/bin/ps axwwo user,pid,ppid,%cpu,%mem,vsz,rss,stat,time,cmd >>$log
/usr/bin/rm.original $*
echo "============================================================" >>$log

步骤三：给记录 rm 命令使用的脚本执行权限

# chmod 755 /usr/bin/rm.original

步骤四：下次使用 rm 命令后就可以监控 /var/log/rm_command.log 日志了

（步骤略）

在 SELinuxProject 的官网上下载 SELinux 策略 UseRefpolicy：

https://github.com/SELinuxProject/refpolicy/wiki/UseRefpolicy

注意：

1) 如果使用此文的方法将 openSUSE & SLE 的 SELinux 设置为 Enforcing 则系统将无法设置 IP 地址
2) 如果使用此文的方法开启了 SELinux 并且将所有的布尔（boolean）值开启，则系统将无法关机，开启所有布尔值的方法：# for i in semanage boolean -l | awk '{print $1}'; do echo $i;setsebool -P $i 1; done

正文：

步骤一：安装 SELinux 组件

# zypper in libselinux1 libsemanage1 libsepol-devel libsepol1 libselinux-devel mcstrans libselinux1-32bit policycoreutils checkpolicy libsemanage-devel setools-tcl setools-libs setools-java setools-devel setools-console selinux-tools python3-policycoreutils python3-selinux python3-semanage python3-setools restorecond

步骤二：安装 SELinux 策略

2.1 解压包含 SELinux 策略的压缩包

# tar -xvf refpolicy-2.20210203.tar.bz2

（补充：这里以解压 refpolicy-2.20210203.tar.bz2 压缩包为例）

2.2 将 SELinux 策略移动到 SELinux 配置文件的位置

# mv refpolicy /etc/selinux/

2.3 进入到和 SELinux 策略相同目录下

# cd /etc/selinux/refpolicy/

2.4 显示 SELinux 策略的安装手册

# cat INSTALL

2.5 创建 SELinux 策略的配置文件

# make conf

2.6 创建 SELinux 策略

# make policy

2.7 编译 SELinux 策略

# make install

2.8 安装 SELinux 策略

# make load

步骤三：配置 SELinux 配置文件

3.1 在 SELinux 配置文件中将 SELinux 设置为 Permissive 状态

# vim /etc/selinux/config

创建以下内容：

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=refpolicy

3.2 在系统内核中禁止使用 AppArmor 使用 SELinux 并且将 SELinux 状态设置为 Permissive

3.2.1 设置 /etc/default/grub 配置文件

# vim /etc/default/grub

在这一行里：

GRUB_CMDLINE_LINUX_DEFAULT="......"

添加以下内容：

GRUB_CMDLINE_LINUX_DEFAULT="...... security=selinux selinux=1 enforcing=0"

3.2.2 让刚刚设置的 /etc/default/grub 配置文件生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

3.3 刷新系统内所有文件的标签

# restorecon -Rp /

步骤四：重启系统让 SELinux 生效

# reboot

参考文献：

https://documentation.suse.com/sles/15-SP2/html/SLES-all/cha-selinux.html

1) Disabled：完全关闭 SELinux
2) Permissive：即使违反了策略也依旧可以执行，但是违反策略的记录会被记录在日志中
3) Enforcing：如果违反了策略就不能之行

内容二：永久切换 SELinux 状态

2.1 将 SELinux 永久切换至 Disabled 状态

2.1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=disabled
......

2.1.2 重启系统

# reboot

2.1.3 显示 SELinux 状态

# getenforce 
Disabled

2.2 将 SELinux 永久切换至 Permissive 状态

2.2.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=permissive
......

2.2.2 重启系统

# reboot

2.2.3 显示 SELinux 状态

# getenforce 
Permissive

2.3 将 SELinux 永久切换至 Enforcing 状态

2.3.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=enforcing
......

2.3.2 重启系统

# reboot

2.3.3 显示 SELinux 状态

# getenforce 
Enforcing

内容三：临时切换 SELinux 状态

3.1 临时切换到 Permissive 状态

3.1.1 临时切换到 Permissive 状态

# setenfoce 0

（
注意：
1) 系统重启后失效
2) 只能从 Enforcing 状态切换到 Permissive 状态
）

3.1.2 显示 SELinux 状态

# getenforce 
Permissive

3.2 临时切换到 Enforcing 状态

3.2.1 临时切换到 Enforcing 状态

# setenfoce 1

（
注意：
1) 系统重启后失效
2) 只能从 Permissive 状态切换到 Enforcing 状态
）

3.2.2 显示 SELinux 状态

# getenforce 
Enforcing

# zypper -n install aide

步骤二：生成 AIDE 的配置文件

2.1 生成 AIDE 配置文件的模板

# /usr/bin/aide --init
AIDE initialized database at /var/lib/aide/aide.db.new

Number of entries:      62624

2.2 将 AIDE 配置文件的模板转换成配置文件

# mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

步骤三：使用 AIDE

# /usr/bin/aide --check
AIDE found differences between database and filesystem!!

Summary:
  Total number of entries:      62623
  Added entries:                0
  Removed entries:              1
  Changed entries:              0

（补充：AIDE 要检查哪些文件不检查哪些文件可以在 /etc/aide.conf 中设置）

1.1 给某一个文件或目录添加一个用户的 acl

# setfacl -m u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上给 zhumingyu 用户设置读和执行的 acl 权限为例）

1.2 给某一个文件或目录添加一个组的 acl

# setfacl -m g:zhumingyu:r-x /var

（补充：这里以在 /var 目录上给 zhumingyu 组设置读和执行的 acl 权限为例）

1.3 递归给某一个目录和目录里的所有内容添加一个 acl

# setfacl -Rm u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上递归给 zhumingyu 组设置读和执行的 acl 权限为例）

案例二：删除某一个文件或目录的 acl

2.1 删除某一个文件或目录一个用户的 acl

# setfacl -x u:zhumingyu /var

（补充：这里以在 /var 目录上删除 zhumingyu 用户的 acl 权限为例）

2.2 删除某一个文件或目录一个组的 acl

# setfacl -x g:zhumingyu /var

（补充：这里以在 /var 目录上删除 zhumingyu 组的 acl 权限为例）

2.3 删除某一个文件或目录的所有 acl

# setfacl -b /var

（补充：这里以在 /var 目录上删除所有 acl 权限为例）

2.4 递归删除某一个文件或目录的 acl

# setfacl -Rx u:zhumingyu:r-x /var

（补充：这里以在 /var 目录上递归删除 zhumingyu 用户的 acl 权限为例）

2.5 递归删除某一个文件或目录的所有 acl

# setfacl -Rb /var

（补充：这里以在 /var 目录上递归删除所有 acl 权限为例）

案例三：显示某一个文件或目录的 acl

# getfacl /var

（补充：这里以显示 /var 目录的 acl 权限为例）

案例四：备份和还原某一个文件或目录的 acl

4.1 备份某一个文件或目录的 acl

# getfacl -R /var > /acl.backup

（补充：这里以备份 /var 目录的 acl 权限为例）

4.2 还原某一给文件或目录的 acl

# setfacl --restore /acl.backup

（补充：这里以还原 /var 目录的 acl 权限为例）

1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=disabled
......

修改为：

......
SELINUX=enforcing
......

或者：

......
SELINUX=perssive
......

1.2 重启系统

# reboot

内容二：SELinux 的常见特性

2.1 SELinux 特性一：创建的文件或目录会自动继承其父目录的 SELinux 标签

2.1.1 在 /var/www/html/ 目录下新创建 index.html 文件

# echo website > /var/www/html/index.html

（补充：这里以在 /var/www/html/ 目录下生成 index.html 文件为例）

2.1.2 显示 /var/www/html/ 目录的 SELinux 标签

# ls -dZ /var/www/html/
unconfined_u:object_r:httpd_sys_content_t:s0 index.html

2.1.3 显示新生成的 /var/www/html/index.html 标签

# ls -Z /var/www/html/index.html/index.html 
unconfined_u:object_r:httpd_sys_content_t:s0 index.html

（补充：从内容 1.1.2 和内容 1.1.3 命令的结果可以看出新生成的文件或其父目录的 SELinux 标签一致）

2.2 SELinux 特性二：移动文件或目录和保留属性复制文件或目录不会改变其 SELinux 标签，普通复制会改变 SELinux 标签

2.2.1 在 /tmp/ 目录下新创建 file1，file2，file3 文件

# touch /tmp/file{1,2,3}

2.2.2 显示 /tmp 目录的 selinux 标签

# ls -Zd /tmp
unconfined_u:object_r:user_tmp_t:s0 /tmp/

2.2.3 显示新创建文件的标签

# ls -Z /tmp/file*
unconfined_u:object_r:user_tmp_t:s0 /tmp/file1  unconfined_u:object_r:user_tmp_t:s0 /tmp/file2
unconfined_u:object_r:user_tmp_t:s0 /tmp/file3

2.2.4 将 /tmp/file1 复制到 /var/www/html/

# cp /tmp/file1 /var/www/html/

2.2.5 将 /tmp/file2 移动到 /var/www/html/

# mv /tmp/file2 /var/www/html/

2.2.6 将 /tmp/file2 复制到 /var/www/html/，并使用 -a 选项保留文件属性

# cp -a /tmp/file3 /var/www/html/

2.2.7 显示这些文件的 SELinux 标签

# ls -Z /var/www/html/file*
unconfined_u:object_r:httpd_sys_content_t:s0 file1           unconfined_u:object_r:user_tmp_t:s0 file3
unconfined_u:object_r:user_tmp_t:s0 file2

（补充：从内容 2.2.3 和内容 2.2.7 命令的结果可以看出只有普通复制会改变 SELinux 标签 ）

内容三：显示某个文件、目录或进程 SELinux 标签

3.1 显示某个文件 SELinux 标签

# ls -Z <file>

3.2 显示某个目录 SELinux 标签

# ls -Zd <directory>

3.3 显示某个进程 SELinux 标签

# ps -auxZ | grep <process>

内容四：显示所有 SELinux 标签

4.1 显示所有文件和目录的 SELinux 标签

# semanage fcontext -l

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

4.2 显示所有端口的 SELinux 标签

# semanage port -l

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

4.3 显示所有进程的 SELinux 标签

# ps -auxZ

内容五：设置 SELinux 标签

5.1 设置文件和目录 SELinux 标签

5.1.1 使用 semanage fcontext 命令和 restorecon 命令设置文件和目录的 SELinux 标签

5.1.1.1 semanage fcontext 命令的常用选项

1) -a 添加或变更 SELinux 标签
2) -d 删除 SELinux 标签
3) -l 显示所有的 SELinux 标签
4) -t 指定上下文 SELinux 标签
5) -v 显示修改 SELinux 标签的内容
6) -R 递归设置 SELinux 标签
7) -m 变更 SELinux 标签

5.1.1.2 使用 semanage fcontext 命令和 restorecon 命令设置文件和目录的 SELinux 标签

5.1.1.2.1 使用 smanage fcontext 命令设置 SELinux 标签

# semanage fcontext -a -t httpd_sys_content_t "/tmp(/.*)?"

（补充：这里以将 /tmp(/.*) 的 SELinux 标签设置为 httpd_sys_content_t 为例）

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

5.1.1.2.2 使用 restorecon 命令修改默认上下文

# restorecon -Rv /tmp
Relabeled /tmp from unconfined_u:object_r:default_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0

5.1.2 使用 chcon 命令设置 SELinux 标签

# chcon -t httpd_sys_content_t /tmp/*

（补充：这里以将 /tmp/* 的 SELinux 标签设置为 httpd_sys_content_t 为例）

5.2 设置端口 SELinux

# semanage port -a -t http_port_t -p tcp 82

（补充：这里以将 TCP 82 端口的 SELinux 标签设置为 http_port_t 为例）

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

1.1 显示当前 SELinux 状态

# getenforce

1.2 将 SELinux 的状态设置为 Enforcing 以开启布尔（boolean）值

1.2.1 当当前 SELinux 的状态为 Disabled 时开启布尔（boolean）值的方法

1.2.1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=disabled
......

修改为：

......
SELINUX=enforcing
......

1.2.1.2 重启系统

# reboot

1.2.2 当当前 SELinux 的状态为 Perssive 时开启布尔（boolean）值的方法

# setenfoce 1

（补充：系统重启后失效）

内容二：显示所有 SELinux 布尔（boolean）值

# semanage boolean -l

内容三：布尔（boolean）值的管理

3.1 允许某一个 SELinux 布尔（boolean）值开启

3.1.1 临时允许某一个 SELinux 布尔（boolean）值开启

3.1.1.1 临时允许某一个 SELinux 布尔（boolean）值开启的格式

# setsebool <boolean value> 1

或者：

# setsebool <boolean value> on

3.1.1.2 临时允许某一个 SELinux 布尔（boolean）值开启的案例

# setsebool httpd_can_network_connect 1

或者：

# setsebool httpd_can_network_connect on

3.1.2 永久允许某一个 SELinux 布尔（boolean）值开启

3.1.2.1 永久允许某一个 SELinux 布尔（boolean）值开启的格式

# setsebool -P <boolean value> 1

或者：

# setsebool -P <boolean value> on

3.1.2.2 永久允许某一个 SELinux 布尔（boolean）值开启的案例

# setsebool -P httpd_can_network_connect 1

或者：

# setsebool -P httpd_can_network_connect on

3.2 取消某一个 SELinux 布尔（boolean）值开启

3.2.1 临时取消某一个 SELinux 布尔（boolean）值开启

3.2.1.1 临时取消某一个 SELinux 布尔（boolean）值开启的格式

# setsebool <boolean value> 0

或者：

# setsebool <boolean value> off

3.2.1.2 临时取消某一个 SELinux 布尔（boolean）值开启的案例

# setsebool httpd_can_network_connect 0

或者：

# setsebool httpd_can_network_connect off

3.2.2 永久取消某一个 SELinux 布尔（boolean）值关闭

3.2.2.1 永久取消某一个 SELinux 布尔（boolean）值开启的格式

# setsebool -P <boolean value> 0

或者：

# setsebool -P <boolean value> off

3.2.2.2 永久取消某一个 SELinux 布尔（boolean）值开启的案例

# setsebool -P httpd_can_network_connect 0

或者：

# setsebool -P httpd_can_network_connect off