ls -Z 显示特定文件的上下文

id -Z 查看当前用户上下文

enforcing 强制模式

permissive 许可模式disabled 禁用模式

centos7在/etc/selinux/config 文件中修改selinux指令

/etc/sysconfig/selinux 是一个符号链接 指向/etc/selinux/config

enforcing （强制模式）有两种方法保护系统安全 ：目标模式（targeted mode）和mls模式；selinux默认是目标模式，他让用户更精细地自定义selinux 要保护的服务。

setenforce 修改selinux状态，在/etc/selinux/config文件中修改，可以永久修改selinux状态。semanage login -l 查看当前sellinux用户的状态

普通用户和root 用户拥有一样的用户上下文

用户角色

guest_u 不可以使用GUI，不可以网络连接，不可以访问su和sudo命令，不可以执行/home或/tmp中的文件 xguest_u 可以使用GUI，仅可以通过Firefox 浏览器连接网络，不可以执行/home或/tmp中的文件user_u 可以使用GUI和网络连接staff_u 可以使用GUI和网络连接以及sudo命令sysadm_u 可以使用GUI和网络连接以及su和sudo命令unconfned_u 系统全部访问

给用户分配角色 semanage login -a -s 角色名 用户名

user_u 角色不能使用su与sudo命令 可以用 ‘semanage -d 用户名’ 去掉

设置未来用户的默认角色 semanage -m -S targeted -s "角色名" -r s0 default

semanage 选项

-m 修改-S 选择并替换要管理的SELinux存储-s 设置用户角色-r 设置安全级别-a 增加，增加一些目录的默认安全上下文类型设置-d 删除