SELinux的策略与规则管理:seinfo,sesearch,setsebool,semanage
一个主体进程能否读取到目标文件资源的重点是在于SELinux的策略以及策略内的各项规则,然后再通过该规则的定义去处理各项目标文件的安全上下文,尤其是“类型”部分。
策略查阅
策略提供多少相关的规则呢,用seinfo查阅。
#seinfo [-Atrub]
-A:列出SELinux的状态、规则布尔值、身份识别、角色、类型等所有信息
-t:列出SELinux所有类型(type)的种类
-r:列出SELinux所有角色(role)的种类
-u:列出SELinux所有身份识别(user)的种类
-b:列出所有规则的种类(布尔值)
列出与httpd有关的规则 #seinfo -b |grep httpd
如果查到的相关类型或者布尔值,想要知道详细规则时,用sesearch.
#sesearch [-a] [-s 主体类型] [-t 目标类型] [-b 布尔值]
-a:列出该类型或布尔值的所有相关信息
-t:后面还要接类型,例如 -t httpd_t
-b:后面还要接布尔值的规则,例如 -b httpd_enable_ftp_server
例子:找出目标文件资源类型为 httpd_sys_content_t的有关信息
#sesearch -a -t httpd_sys_content_t
找出主体进程为httpd_t且目标文件类型为httpd相关的所有信息
#sesearch -s httpd_t -t httpd_* -a
查看布尔值 httpd_enable_homedirs 设置了多少规则
#sesearch -b httpd_enable_homedirs -a
布尔值的查询与修改
#getsebool [-a] [布尔值条款]
-a:列出目前系统上面的所有布尔值条款设置为开启或关闭值
例子:查询本系统内所有的布尔值设置状况
#getsebool -a
#setsebool [-P] 布尔值=[0|1]
-P:直接将设置值写入配置文件,该设置数据将来会生效的。
例子:查询 httpd_enable_homedirs 是否为关闭,若没关闭,请关闭它
#getsebool httpd_enable_homedirs
#setsebool -P httpd_enable_homedirs=0 ==>0是关闭 1是开启
#getsebool httpd_enable_homedirs
默认目录的安全上下文查询与修改
#semanage {login|user|port|interface|fcontext|translation} -l
#semanage fcontext -{a|d|m} [-frst] file_spec
fcontext:主要用在安全上下文方面,-l 为查询的意思
-a:增加的意思,你可以增加一些目录的默认安全上下文类型设置
-m:修改的意思
-d:删除的意思
例子:查询 /var/www/html的默认安全上下文设置
#semanage fcontext -l
利用semanage设置/srv/samba目录的默认安全上下文为 public_content_t
#semanage fcontext -a -t public_content_t "/srv/samba(/.*)?"
恢复默认值
#restorecon -Rv /srv/samba*
阅读(9003) | 评论(1) | 转发(1) |