1.集成在内核中，内核级安全机制，2.6内核以后集成在内核中

2.所有安全机制针对：进程和系统资源（文件，网络套接字，系统调用） 3.SeLinux针对这两种类型定义两个概念： 域（domain）：用来限制进程 上下文（context）：用来限制系统资源 4.ps -Z 查看进程的域 5.ls -Z 查看文件的上下文 6.通过定义策略来控制哪些域可以访问哪些上下文 即：哪些进程可以访问哪些文件 7.有很多预置策略，通常不需要自定义策略 8.RedHad/CentOS使用预置的目标策略（target） 9.目标（target）策略定义只有目标进程收到SeLinux限制，其他进程运行在非限制模式下。目标策略只影响网络应用程序。 10.受限制的网络服务常见的200种左右： dhcpd  ntpd  rpcbind  httpd  vsftpd  squid  syslogd  mysqld  named ... 11.三种工作模式 --强制 enforcing  违反策略禁止，并产生日志信息 --允许 permissive 违反策略不禁止，记录日志 --禁用 disabled   禁用 12.模式配置文件 /etc/sysconfig/selinux 13.查看工作状态 getenforce sestatus 14.设置当前工作状态 setenforce 0 permissive 1 enforcing 15.上下文 4个部分 system_u:object_r:admin_home_t:s0 用户user:角色role:类型type:MLS、MCS --用户：无需解释 --角色：一类用户的汇总或者分类 --类型：类型分配给一个对象并决定谁可以访问这个对象 SEliunx目标策略只于第三个字段有关，即类型字段（TYPE） 16.恢复上下文 restorecon -R -v /var/www 17.修改上下文 chcon --reference=/etc/named.conf.bak /etc/named.conf --reference指定模版文件 chcon -t type file 修改上下文的类型 18.在什么目录下建立新文件，就沿用什么目录的安全上下文 19.SELinux布尔值是更改SELinux策略行为的开关 20.布尔值相关命令 getsebool [-a] 用于显示布尔值(yum install libselinux-utils) setsebool [-P] 用于修改布尔值,选项-P永久生效(yum install policycoreutils) semanage boolean -l 将显示布尔值是否永久(yum install policycoreutils-python) eg. setsebool -P allow_ftpd_anon_write=1 semanage boolean -l | grep allow_ftpd_anon_write 21.排错 服务 auditd、setroubleshootd yum install audit setroubleshoot 报警日志/var/log/audit/audit.log 排错日志/var/log/messages 22.新增端口 800加入到selinux支持http的端口 semanage port -a -t http_port_t -p tcp 800 23.seinfo yum install setools-console seinfo [-Atrub] 选顷不参数： -A  ：列出 SELinux 癿状忞、觃则布尔值、身份识别、觇色、类别等所有信息 -t  ：列出 SELinux 癿所有类别 (type) 种类 -r  ：列出 SELinux 癿所有觇色 (role) 种类 -u  ：列出 SELinux 癿所有身份识别 (user) 种类 -b  ：列出所有觃则癿种类 (布尔值) seinfo 列出 SELinux 在此策略下癿统计状态 seinfo -b | grep http seinfo -t | grep http 24.等待你的分享和添加