SElinux 常用命令
发布日期:2021-09-18 01:36:53
浏览次数:3
分类:技术文章
本文共 2519 字,大约阅读时间需要 8 分钟。
SElinux 管理工具
yum -y install policycoreutils-newrole # Usage: System -> Management -> SElinux------------------------------------------------------------------------# SElinux信息与开启ls -Z ps -Z id -Z # 分别可以看到文件,进程和用户的SELinux属性sestatus seinfo selinuxenabled getenforce # 查看SElinux信息setenforce [ Enforcing | Permissive | 1 | 0 ]/etc/selinux/config # 需要重启系统来启动SELinux新的工作模式------------------------------------------------------------------------#chcon 改变SELinux安全上下文chcon -u [user] 对象 -r [role] -t [type] -R 递归 --reference 源文件 目标文件 # 复制安全上下文示例:chcon -R -t samba_share_t /tmp/abc---------------------# restorecon # 恢复默认安全上下文---------------------# SElinux查看与设置策略getsebool # 获取本机selinux策略值,也称为bool值 # selinux的设置一般通过两个部分完成的,一个是安全上下文,另一个是策略,策略值是对安全上下文的补充setsebool -P allow_ftpd_anon_write=1 # -P 是永久性设置,否则重启之后又恢复预设值。示例:[root@redhat files]# setsebool -P allow_ftpd_anon_write=1[root@redhat files]# getsebool allow_ftpd_anon_writeallow_ftpd_anon_write --> on--------------------注意:如果仅仅是安全上下文中设置了vsftpd进程对某一个目录的访问,配置文件中也允许可写,但是selinux中策略中不允许可写,仍然不可写。所以基于selinux保护的服务中,安全高很多。------------------------------------------------------------------------# SElinux对服务的应用selinux的设置分为两个部分,修改安全上下文以及策略,下面收集了一些应用的安全上下文,供配置时使用,对于策略的设置,应根据服务应用的特点来修改相应的策略值。1.3.1 SElinux与samba1.samba共享的文件必须用正确的selinux安全上下文标记。chcon -R -t samba_share_t /tmp/abc如果共享/home/abc,需要设置整个主目录的安全上下文。chcon -R -r samba_share_t /home2.修改策略(只对主目录的策略的修改)setsebool -P samba_enable_home_dirs=1setsebool -P allow_smbd_anon_write=1getsebool 查看samba_enable_home_dirs -->onallow_smbd_anon_write --> on /*允许匿名访问并且可写*/1.3.2 SElinux与nfsselinux对nfs的限制好像不是很严格,默认状态下,不对nfs的安全上下文进行标记,而且在默认状态的策略下,nfs的目标策略允许nfs_export_all_ronfs_export_all_ronfs_export_all_rw值为0所以说默认是允许访问的。但是如果共享的是/home/abc的话,需要打开相关策略对home的访问。setsebool -P use_nfs_home_dirs boolean 1getsebool use_nfs_home_dirs1.3.3 SElinux与ftp1.如果ftp为匿名用户共享目录的话,应修改安全上下文。chcon -R -t public_content_t /var/ftpchcon -R -t public_content_rw_t /var/ftp/incoming2.策略的设置setsebool -P allow_ftpd_anon_write =1getsebool allow_ftpd_anon_writeallow_ftpd_anon_write--> on1.3.4 SElinux与httpapache的主目录如果修改为其它位置,selinux就会限制客户的访问。1.修改安全上下文:chcon -R -t httpd_sys_content_t /home/html由于网页都需要进行匿名访问,所以要允许匿名访问。2.修改策略:setsebool -P allow_ftpd_anon_write = 1setsebool -P allow_httpd_anon_write = 1setsebool -P allow_<协议名>_anon_write = 1关闭selinux对httpd的保护httpd_disable_trans=01.3.5 SElinux与公共目录共享如果ftp,samba,web都访问共享目录的话,该文件的安全上下文应为:public_content_tpublic_content_rw_t其它各服务的策略的bool值,应根据具体情况做相应的修改。转载地址:https://blog.csdn.net/yuezu1026/article/details/4628716 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
能坚持,总会有不一样的收获!
[***.219.124.196]2024年04月07日 15时11分47秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
boost::bad_function_call用法的测试程序
2019-04-26
微信公众号介绍_以及注册订阅号---微信公众号开发工作笔记0001
2019-04-26
Vue模板语法---vue工作笔记0003
2019-04-26
Vue计算属性之基本使用---vue工作笔记0004
2019-04-26
Vue监视---vue工作笔记0005
2019-04-26
Vue条件渲染---vue工作笔记0008
2019-04-26
Vue事件处理_vue的事件处理超级方便_功能强大---vue工作笔记0011
2019-04-26
Vue表单数据自动收集---vue工作笔记0012
2019-04-26
Vue生命周期---vue工作笔记0013
2019-04-26
C++_类和对象_对象特性_构造函数的分类以及调用---C++语言工作笔记041
2019-04-26
C++_类和对象_对象特性_拷贝构造函数调用时机---C++语言工作笔记042
2019-04-26
C++_类和对象_对象特性_构造函数调用规则---C++语言工作笔记043
2019-04-26
C++_类和对象_对象特性_深拷贝与浅拷贝---C++语言工作笔记044
2019-04-26