selinux的配置

参考自鸟哥的私房菜：http://linux.vbird.org/
SELinux是Mandatory Access Control的一种。
主体与客体安全性文本


修改安全性文本

引用

[root@www ~]# chcon [-R] [-t type] [-u user] [-r role] 檔案
[root@www ~]# chcon [-R] --reference=範例檔 檔案
選項與參數：
-R  ：連同該目錄下的次目錄也同時修改；
-t  ：後面接安全性本文的類型欄位！例如 httpd_sys_content_t ；
-u  ：後面接身份識別，例如 system_u；
-r  ：後面街角色，例如 system_r；
--reference=範例檔：拿某個檔案當範例來修改後續接的檔案的類型！

重置安全性文本

引用

[root@www ~]# restorecon [-Rv] 檔案或目錄
選項與參數：
-R  ：連同次目錄一起修改；
-v  ：將過程顯示到螢幕上

SELinux日志
setroubleshoot将错误信息写入/var/log/messages

引用

# chkconfig setroubleshoot on

auditd将详细错误写入/var/log/audit/audit.log

引用

# chkconfig auditd on

SELinux政策查询

引用

[root@www ~]# seinfo [-Atrub]
選項與參數：
-A  ：列出 SELinux 的狀態、規則布林值、身份識別、角色、類別等所有資訊
-t  ：列出 SELinux 的所有類別 (type) 種類
-r  ：列出 SELinux 的所有角色 (role) 種類
-u  ：列出 SELinux 的所有身份識別 (user) 種類
-b  ：列出所有規則的種類 (布林值)

引用

[root@www ~]# sesearch [-a] [-s 主體類別] [-t 目標類別] [-b 布林值]
選項與參數：
-a  ：列出該類別或布林值的所有相關資訊
-t  ：後面還要接類別，例如 -t httpd_t
-b  ：後面還要接布林值的規則，例如 -b httpd_enable_ftp_server

预设安全性文本的修改

引用

[root@www ~]# semanage {login|user|port|interface|fcontext|translation} -l
[root@www ~]# semanage fcontext -{a|d|m} [-frst] file_spec
選項與參數：
fcontext ：主要用在安全性本文方面的用途， -l 為查詢的意思；
-a ：增加的意思，你可以增加一些目錄的預設安全性本文類型設定；
-m ：修改的意思；
-d ：刪除的意思。

自定义安全性策略
自定义安全策略使用audit2allow这个工具

grep nagios_t /var/log/audit/audit.log | grep -v default_t | audit2allow -M nagiosType

这个命令根据日志，自定义的输入流来生成哪些特殊情况将被放行。
之后会生成nagiosType.te与nagiosType.pp两个文件。
插入自定义的selinux模块

semodule -i nagiosType.pp

移除自定义的selinux模块

semodule -r nagiosType