• SELinux 简介

  SELinux：即安全增强型 Linux（Security-Enhanced Linux）它是一个 Linux 内核模块，也是 Linux 的一个安全子系统；它主要由美国国家安全局开发；它的主要作用:最大限度地减小系统中服务进程可访问的资源（最小权限原则）。

-#为什么要关闭SELinux?
有的软件对于selinux的安全规则支持不够好，就会建议在安装前把selinux先关闭：
例如:k8s:
附:k8s的相应说明：

Setting SELinux in permissive mode by runningsetenforce 0andsed ...effectively disables it.
This is required to allow containers to access the host filesystem, which is needed by pod networks for example.
You have to do this until SELinux support is improved in the kubelet...

其目的在于允许容器访问宿主机的文件系统，
这种情况下只能先关闭selinux
说明：如果不是要运行的软件有相应需求，不建议关闭SELinux;

• 查看当前 SELinux 状态

  1. selinux的三种运行模式

     1. enforcing:强制模式，SELinux 正在运行中，已经在限制 domain/type
     
     2. permissive:宽容模式：SELinux 正在运行中，但仅发出警告信息,
        并不会实际限制 domain/type 的存取  (permissive模式可以用在测试环境中供调试规则时使用)
     
     3. disabled:关闭，SELinux 没有实际运行。
     

  2. 用sestatus查看SELinux工作模式：
     • sestatus -v

  可以看到: Current mode: enforcing

  3. 可以使用 getenforce 查看：
     • getenforce

• 临时关闭/开启 SELinux

  1. 使用 setenforce 命令 配置selinux运行模式:
     setenforce -h
     setenforce 0

• 永久关闭 SELinux

1. 修改配置文件：/etc/selinux/config 中 SELINUX=disabled 然后重启机器
   默认值是: #SELINUX=enforcing
2. 修改/etc/sysconfig/selinux 这个文件也可以生效;因为它其实就是/etc/selinux/config的符号链接

• 关于 SELinux

1. elinux默认的审计日志位于:/var/log/audit/audit.log；
2. 如何分析selinux的日志?
   • 安装setroubleshoot 组件；
   • sealert -a /var/log/audit/audit.log
   • 参考 分析SELinux日志，排除SELinux疑难
3. 查看 SELinux 策略内置各项规则的布尔值：

   //查询本系统内所有的布尔值设置状况：
   getsebool -a
   
   //查询httpd_enable_homedirs是否为关闭，若没关闭，请关闭它：
   getsebool httpd_enable_homedirs
   setsebool -P httpd_enable_homedirs=0    //0是关闭  1是开启