Chinaunix首页 | 论坛 | 博客
  • 博客访问: 783019
  • 博文数量: 143
  • 博客积分: 2077
  • 博客等级: 大尉
  • 技术积分: 2393
  • 用 户 组: 普通用户
  • 注册时间: 2012-09-28 12:57
文章存档

2016年(2)

2015年(3)

2014年(3)

2013年(41)

2012年(94)

分类: LINUX

2012-10-18 10:21:12

SELinux的策略与规则管理:seinfo,sesearch,setsebool,semanage
  一个主体进程能否读取到目标文件资源的重点是在于SELinux的策略以及策略内的各项规则,然后再通过该规则的定义去处理各项目标文件的安全上下文,尤其是“类型”部分。

策略查阅
  策略提供多少相关的规则呢,用seinfo查阅。
#seinfo [-Atrub]
  -A:列出SELinux的状态、规则布尔值、身份识别、角色、类型等所有信息
  -t:列出SELinux所有类型(type)的种类
  -r:列出SELinux所有角色(role)的种类
  -u:列出SELinux所有身份识别(user)的种类
  -b:列出所有规则的种类(布尔值)
列出与httpd有关的规则  #seinfo -b |grep httpd


  如果查到的相关类型或者布尔值,想要知道详细规则时,用sesearch.
#sesearch [-a] [-s 主体类型] [-t 目标类型] [-b 布尔值]
  -a:列出该类型或布尔值的所有相关信息
  -t:后面还要接类型,例如 -t httpd_t
  -b:后面还要接布尔值的规则,例如 -b httpd_enable_ftp_server

  例子:找出目标文件资源类型为 httpd_sys_content_t的有关信息
       #sesearch -a -t httpd_sys_content_t
        找出主体进程为httpd_t且目标文件类型为httpd相关的所有信息
       #sesearch -s httpd_t -t httpd_* -a
        查看布尔值 httpd_enable_homedirs 设置了多少规则
       #sesearch -b httpd_enable_homedirs -a


布尔值的查询与修改
#getsebool [-a] [布尔值条款]
  -a:列出目前系统上面的所有布尔值条款设置为开启或关闭值

  例子:查询本系统内所有的布尔值设置状况
#getsebool -a

#setsebool [-P] 布尔值=[0|1]
  -P:直接将设置值写入配置文件,该设置数据将来会生效的。

  例子:查询 httpd_enable_homedirs 是否为关闭,若没关闭,请关闭它
#getsebool httpd_enable_homedirs
#setsebool -P httpd_enable_homedirs=0    ==>0是关闭  1是开启
#getsebool httpd_enable_homedirs


默认目录的安全上下文查询与修改
#semanage {login|user|port|interface|fcontext|translation} -l
#semanage fcontext -{a|d|m} [-frst] file_spec
  fcontext:主要用在安全上下文方面,-l 为查询的意思
  -a:增加的意思,你可以增加一些目录的默认安全上下文类型设置
  -m:修改的意思
  -d:删除的意思

  例子:查询 /var/www/html的默认安全上下文设置
       #semanage fcontext -l
        利用semanage设置/srv/samba目录的默认安全上下文为 public_content_t
       #semanage fcontext -a -t public_content_t "/srv/samba(/.*)?"
恢复默认值
       #restorecon -Rv /srv/samba*

阅读(9003) | 评论(1) | 转发(1) |
给主人留下些什么吧!~~

biwangshen2015-03-24 09:40:14

为什么我在ubuntu12.04中输入seinfo总是报错,我的的版本过高