从原理到实践：深入探索Linux安全机制( 四 ) _Linux安全

Current mode: enforcing

当前 SELinux 模式为强制执行（enforcing），这意味着 SELinux 将强制执行安全策略，对违反规则的操作进行限制。

Mode from config file: enforcing

从配置文件中设置的 SELinux 模式也是强制执行（enforcing），这说明系统会在重启后继续以强制执行模式运行。

Policy MLS status: enabled

策略 MLS 状态为启用，这表示多级安全策略（MLS）功能在 SELinux 中是启用的。

Policy deny_unknown status: allowed

deny_unknown 策略状态为允许（allowed），这表示 SELinux 允许对未知进程进行访问控制。

Max kernel policy version: 31

最大内核策略版本号为 31，这是指内核支持的 SELinux 策略的最大版本号。
2、getenforcegetenforce命令可以查看 SELinux 的强制模式（Enforcing）、警告模式（Permissive）或禁用模式（Disabled）。

文章插图
图片
3、semanagesemanage命令可以查询和管理 SELinux 策略中的各种对象，如端口、用户、登录名等。比如查询ftp服务相关的布尔值是否处于打开状态，这里多解释一下，在 SELinux 安全策略中，布尔值（Boolean）是一种用于控制特定安全策略行为的开关变量。通过设置这些布尔值，可以启用或禁用特定的安全策略规则，从而调整系统的访问控制行为。
semanage boolean -l | grep ftp如果semanage指令执行错误，可以是未安装SELinux管理工具包，执行下面的指令进行相关工具包安装，安装后再次执行上述命令：
sudo yum install policycoreutils4、setseboolsetsebool 用于设置或修改 SELinux 的布尔值（Boolean）。布尔值通常以 on 或 off 的形式存在，用于表示某个特定的安全功能或行为是否启用。通过 setsebool ，你可以启用或禁用特定的 SELinux 布尔值，从而调整系统的访问控制行为。
【从原理到实践：深入探索Linux安全机制】比如，允许vsftpd服务匿名用户写入
setsebool -P ftpd_anon_write on其中， -P 参数表示永久性地修改该布尔值，而不仅仅是临时性地修改。
5、getsebool用于查看 SELinux 布尔值的状态。比如，查询允许vsftpd服务匿名用户写入的布尔值：
getsebool ftpd_anon_write