3 SELinux

层级：

一：安全上下文

用户:角色:类型

[root@localhost ~]# ls -lZ
-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg

httpd的默认类型：httpd_sys_content_t

设置为httpd的类型：chcon -R -t httpd_sys_content_t 目录

实验：更改网页主目录，验证安全上下文

[root@localhost ~]# yum -y install httpd
[root@localhost ~]# echo "this is 201..." > /var/www/html/index.html
[root@localhost ~]# ls -ldZ /var/www/html/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

[root@localhost ~]# getenforce 
Enforcing
[root@localhost ~]# mkdir /www
[root@localhost ~]# echo "this is another 201..." > /www/index.html
[root@localhost ~]# vim /etc/httpd/conf/httpd.conf 
DocumentRoot "/www"
<Directory "/var/www">
[root@localhost ~]# systemctl enable httpd --now

此时未访问到自定义网页主目录

[root@localhost ~]# chcon -R -t httpd_sys_content_t /www/
[root@localhost ~]# systemctl restart httpd

修改SELinux上下文后，成功访问

二：命令：设置SELinux类型

chcon [-R] [-t 类型] [-u user] [-r role] 目录
        选项：     -R        #递归
                  -t        #后接类型
                  -u        #后接身份识别
                  -r        #后接角色
        例子： chcon -R -t httpd_sys_content_t /www/

三：命令：设置默认SELinux类型

restore [-Rv] 目录
        选项： 
                -R      #递归
                -v      #显示过程
        例子：
            restorecon -Rv /www/

四：SELinux布尔值

getsebool -a                #查看所有
setsebool -P samba_enable_home_dirs on          #开启samba的共享用户家目录
setsebool -P samba_enable_home_dirs=1           #开启samba的共享用户家目录

setsebool -P samba_export_all_ro on             #samba共享仅读（需要关闭共享用户家目录）

实验：测试安全上下文你，布尔值对samba共享的影响

#C7-1   samba-server
[root@localhost ~]# yum -y install samba            #部署samba服务端
[root@localhost ~]# vim /etc/samba/smb.conf
[public]
        comment = SHARE
        path = /share
        writeable = yes

[root@localhost ~]# mkdir /share                    #创建共享目录，samba用户
[root@localhost ~]# cd /share/
[root@localhost share]# touch {1..10}.txt
[root@localhost ~]# chmod -R 777 /share/
[root@localhost ~]# vim /etc/samba/smb.conf
[root@localhost ~]# systemctl enable smb --now
[root@localhost ~]# useradd yq
[root@localhost ~]# pdbedit -a yq

[root@localhost ~]# getsebool -a|grep samba                 #查看所有关于samba的布尔值选项
[root@localhost ~]# chcon -R -t samba_share_t /share/       #给共享目录设置samba的安全上下文，此时客户端能正常访问共享目录

[root@localhost ~]# setsebool -P samba_enable_home_dirs=1       #设置共享用户家目录，此时客户端能登录samba用户家目录，并有所有权限

[root@localhost ~]# setsebool -P samba_enable_home_dirs=0
[root@localhost ~]# setsebool -P samba_export_all_ro=1          #设置共享仅读，此时客户端能登录samba用户家目录，但仅读


#C7-2   samba-client
[root@localhost ~]# yum -y install samba-client
[root@localhost ~]# smbclient -U yq  //192.168.20.201/public        #登录公共共享目录
[root@localhost ~]# smbclient -U yq  //192.168.20.201/yq            #登录samba用户家目录