本文共 2519 字，大约阅读时间需要 8 分钟。

SElinux 管理工具

yum -y install policycoreutils-newrole # Usage: System -> Management -> SElinux------------------------------------------------------------------------# SElinux信息与开启ls -Z   ps -Z   id -Z        # 分别可以看到文件,进程和用户的SELinux属性sestatus seinfo selinuxenabled getenforce        # 查看SElinux信息setenforce [ Enforcing | Permissive | 1 | 0 ]/etc/selinux/config                # 需要重启系统来启动SELinux新的工作模式------------------------------------------------------------------------#chcon 改变SELinux安全上下文chcon -u [user]  对象      -r [role]      -t [type]      -R 递归      --reference 源文件 目标文件           # 复制安全上下文示例：chcon -R -t samba_share_t /tmp/abc---------------------# restorecon    # 恢复默认安全上下文---------------------# SElinux查看与设置策略getsebool        # 获取本机selinux策略值，也称为bool值                # selinux的设置一般通过两个部分完成的，一个是安全上下文，另一个是策略，策略值是对安全上下文的补充setsebool -P allow_ftpd_anon_write=1        # -P 是永久性设置，否则重启之后又恢复预设值。示例：[root@redhat files]# setsebool -P allow_ftpd_anon_write=1[root@redhat files]# getsebool allow_ftpd_anon_writeallow_ftpd_anon_write --> on--------------------注意：如果仅仅是安全上下文中设置了vsftpd进程对某一个目录的访问，配置文件中也允许可写，但是selinux中策略中不允许可写，仍然不可写。所以基于selinux保护的服务中，安全高很多。------------------------------------------------------------------------# SElinux对服务的应用selinux的设置分为两个部分，修改安全上下文以及策略，下面收集了一些应用的安全上下文，供配置时使用，对于策略的设置，应根据服务应用的特点来修改相应的策略值。1.3.1 SElinux与samba1．samba共享的文件必须用正确的selinux安全上下文标记。chcon -R -t samba_share_t /tmp/abc如果共享/home/abc，需要设置整个主目录的安全上下文。chcon -R -r samba_share_t /home2．修改策略(只对主目录的策略的修改)setsebool -P samba_enable_home_dirs=1setsebool -P allow_smbd_anon_write=1getsebool 查看samba_enable_home_dirs -->onallow_smbd_anon_write --> on /*允许匿名访问并且可写*/1.3.2 SElinux与nfsselinux对nfs的限制好像不是很严格，默认状态下，不对nfs的安全上下文进行标记，而且在默认状态的策略下，nfs的目标策略允许nfs_export_all_ronfs_export_all_ronfs_export_all_rw值为0所以说默认是允许访问的。但是如果共享的是/home/abc的话，需要打开相关策略对home的访问。setsebool -P use_nfs_home_dirs boolean 1getsebool use_nfs_home_dirs1.3.3 SElinux与ftp1．如果ftp为匿名用户共享目录的话，应修改安全上下文。chcon -R -t public_content_t /var/ftpchcon -R -t public_content_rw_t /var/ftp/incoming2．策略的设置setsebool -P allow_ftpd_anon_write =1getsebool allow_ftpd_anon_writeallow_ftpd_anon_write--> on1.3.4 SElinux与httpapache的主目录如果修改为其它位置，selinux就会限制客户的访问。1．修改安全上下文：chcon -R -t httpd_sys_content_t /home/html由于网页都需要进行匿名访问，所以要允许匿名访问。2．修改策略：setsebool -P allow_ftpd_anon_write = 1setsebool -P allow_httpd_anon_write = 1setsebool -P allow_<协议名>_anon_write = 1关闭selinux对httpd的保护httpd_disable_trans=01.3.5 SElinux与公共目录共享如果ftp,samba,web都访问共享目录的话，该文件的安全上下文应为：public_content_tpublic_content_rw_t其它各服务的策略的bool值，应根据具体情况做相应的修改。

转载地址：https://blog.csdn.net/yuezu1026/article/details/4628716 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！