[转]http://www.cnblogs.com/zgx/archive/2011/08/31/2160330.html
检查SELinux是否已经启用.
[root@localhost ~]# sestatus
SELinux status: disabled
常用命令如下:
sestatus
|
查询系统的selinux目 前的狀态
|
selinuxenabled
|
查询系统的selinux支 援是否有启用
|
setenforce
|
设定selinux运 作狀态
|
getsebool
|
列出所有selinux bool数值清单列表与内容
|
setsebool
|
设定selinux bool数值内容
|
chcon
|
变更档案目录security context
|
restorecon
|
恢復档案目录的预设的security context
|
fixfiles
|
修正档案目录的预设的security context
|
semanage
|
SELiux policy管理程式
|
secon
|
检视行程、档案等等项目的SELinux context
|
audit2why
|
检视SELinux audit讯息内容
|
sealert
|
SELinux 讯息诊断用户端程式
|
下面列出几个常用的:
1、sestatus工具
查询系统的selinux 目前的状态
例如:root@monitor:~# sestatus
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: permissive
Policy version: 21
Policy from config file: targeted
2、selinuxenabled工具
检查系统selinux是否开启,是通过返回值进行判断selinux是否已经启动,0:表示已经启动selinux;1:表示已经关闭selinux
例如:selinuxenabled ; echo?,返回的结果为:1
3、setenforce工具
功能:设定切换selinux的运行状态(0或者1),前提是开启了selinux,同时这种切换只对当前有效,如果重新启动的话,就没有效了(注意:如果关闭了selinux,那么就必须配置/etc/selinux/config文件)
语法:setenforce [ Enforcing | Permissive | 1 | 0 ]
说明如下:
enforcing 或者1,表示开启强制模式
permissive 或者0,表示开启警告但是无限制模式
例如:下面这个例子
root@monitor:~# sestatus | grep -i mod
Current mode: permissive
Mode from config file: permissive
root@monitor:~# setenforce 1
root@monitor:~# sestatus | grep -i mod
Current mode: enforcing
Mode from config file: permissive
4、getsebool与setsebool工具
说明:SELinux规范了许多boolean数值清单档案,提供开启或关闭功能存取项目,而这些值都存放在/selinux/booleans/目录内相关档案,这些档案里的值只有两种:1(启用)或 0(关闭)
1)getsebool
说明:列出所有selinux bool数值清单列表与内容
使用方式:getsebool [ -a ]
例如以下范例:
#getsebool ftpd_disable_trans
ftpd_disable_trans --> off
#getsebool -a
NetworkManager_disable_trans --> off
allow_cvs_read_shadow --> off
allow_daemons_dump_core --> on
allow_daemons_use_tty --> off
allow_execheap --> off
allow_execmem --> on
allow_execmod --> off
..........
2)setsebool
说明:设定selinux bool数值清单列表与内容
使用方式:setsebool [ -P ] boolean value | bool1=val1 bool2=val2 bool3=val3......
参数配置: -P表示设定该项目永久套用
使用范例:
setsebool ftpd_disable_trans=on ( on 或者 1 )
setsebool -P ftpd_disable_trans=off ( off 或者 0 )
5、chcon
说明:变更档案目录的security context
使用方式:
chcon [OPTION]... CONTEXT FILE...
chcon [OPTION]... --reference=RFILE FILE...
参数如下:
-u USER:set user USER in the target security context
-r ROLE:set role ROLE in the target security context
-t TYPE:set type TYPE in the target security context
范例:
chcon -t var_t /etc/vsftpd/vsftpd.conf
chcon --reference=/var/www/html index.html
注意事项:若是变更于目录上,后续于该目录内建立的档案目录会套用目录本身type设定
6、restorecon
说明:恢复档案目录的预设的security Context
规格来源:/etc/selinux/<POLICY>/contexts/files/目录内的file_contexts与file_contexts.local
常用参数如下:
-r | -R:包含子目录与其下档案目录
-F:恢復使用预设的項目(就算是檔案符合存取规范)
-v:显示执行过程
使用方式:restorecon [FRrv] [-e excludedir ] pathname... ]
使用范例如下:
restorecon /etc/ntp.conf
restorecon -v /etc/ntp.conf
restorecon -v -F /etc/ntp.conf
手动配置新增恢复规则
1)档案名称
/etc/selinux/<POLICYTYPE>/contexts/files/file_contexts.local
2)新增配置范例
/var/ftp(/.*)? system_u:object_r:public_content_t
3)注意
可以使用semanage程式来维护会比较方便
7、fixfiles
说明:修正档案目录的预设的security Context,依据/etc/selinux/<POLICY>/contexts/files/内相关档案修正
使用方式:
fixfiles { check | restore|[-F] relabel } [[dir] ... ]
fixfiles -R rpmpackage[,rpmpackage...] { check | restore }
参数:
-R:使用指定的rpm 套件所提供的檔案清單
使用范例:
fixfiles check /etc
fixfiles restore /etc
fixfiles -F relabel /
fixfiles -R setup check
8、audit2why
说明:检视SELinux audit讯息内容,提供检视/var/log/audit/audit.log内的记录资讯说明
使用范例:audit2why < /var/log/audit/audit.log
注意:需要搭配启动auditd服务程式一起使用
9、sealert
说明:SELinux 讯息诊断用户端程序
参数如下:
-H, --html_output:使用网页格式输出(搭配 -a or -l 使用)
-l, --lookupid ID:检视指定ID的警示讯息
使用范例:
sealert -l xxxxx-xxxxx-xxxx
sealert -H -l xxxxx-xxxxx-xxxx > output.html
注意:需要搭配setroubleshoot服务一起使用
setroubleshoot服务启动后,会依据audit服务提供的资讯给予适当问题诊断,然后输出于/var/log/messages,该档案内会有相关输出资讯提供除错检视
10、semanage
说明:selinux policy维护工具
使用方式:semanage { login | user | port | interface | fcontext | translation} -l [-n]
使用范例:
semanage login -l
semanage user -l
semanage port -l
semanage port -a -t http_port_t -P tcp 81
semanage fcontext -a -t httpd_sys_Context_t "/home/users/(.+)/public_html(/.*)?“
11、secon
说明:检视程式、档案与使用者等相关SELinux Context
使用方式:
secon [-hVurtscmPRfLp] [CONTEXT]
secon [--file] FILE | [--link] FILE | [--pid] PID
参数:
-u, --user:show the user of the security context
-r, --role:show the role of the security context
-t, --type:show the type of the security context
-f, --file FILE:gets the context from the specified file FILE
-p, --pid PID:gets the context from the specified process PID
使用范例:
secon -u
secon -r
secon -t
secon --file /etc/passwd
secon --pid <pid>
SELinux让php程序无法远程连接数据库
setsebool -P httpd_can_network_connect_db=1
分享到:
相关推荐
4. policycoreutils-newrole-2.5-34.el7.x86_64.rpm:这是SELinux的策略核心工具之一,newrole工具允许用户在不同安全上下文之间切换。 5. mcstrans-0.3.4-5.el7.x86_64.rpm:这是SELinux的多类别安全转换守护进程,...
首先,文件的标题“selinux-policy-doc-3.13.1-268.el7-9.2.x64-86.rpm.tar.gz”说明了这是一份与SELinux策略文档相关的文件,版本号为3.13.1-268.el7_9.2,针对的架构是x64及86位系统。文件格式为rpm,这是Red Hat...
与RPM包相关的工具还包括yum和dnf,它们能够处理软件包之间的依赖关系,简化安装和更新过程。 从文件名称列表中可以看到,除了两个RPM软件包和readme文档之外,还可能包含了其他未列出的文件,这些文件可能包含文档...
在某些特定环境中,系统管理员可能会选择禁用SELinux,以便更加灵活地控制安全策略或解决与SELinux相关的兼容性问题。禁用SELinux通常涉及修改“/etc/selinux/config”文件,将SELINUX变量设置为disabled。 第三,...
综合以上内容,我们可以得出,这个压缩包主要包含与SELinux沙盒策略相关的一系列组件,这些组件需要被正确地安装到Linux系统上,以便实现和维护一个安全的运行环境。通过这些组件,系统管理员可以更好地控制和限制...
除了上述工具之外,Linux系统还包括了许多其他的命令行工具,例如文件压缩和解压缩工具(`tar`、`gzip`、`bzip2`等)、系统安全工具(如`防火墙`、`SELinux`)、以及版本控制系统(如`git`)等。这些工具极大地丰富...
在理解给定文件内容时,虽然部分文字因OCR技术问题可能有识别错误,但以上知识点涵盖了文件中提到的指令、工具及其用法和功能。文档通过OCR扫描可能造成了一些非关键信息的损失,但所提及的指令和用法大体上还是完整...
- policycoreutils-devel:这是提供SELinux策略开发工具的软件包,属于SELinux(安全增强型Linux)的组成部分,用于增强系统安全。 - selinux-policy-targeted:这是SELinux策略的一部分,提供“目标”策略,即对...
如果遇到权限问题,可能需要临时关闭 SELinux 或者调整其策略设置,以允许工具的运行。 ### 4. 容器相关操作 在容器环境下开发和部署应用程序越来越普遍。鲲鹏开发套件也支持在 Docker 或 Kubernetes 等容器平台上...
5. 配置 SELinux:使用 semanage 工具配置 SELinux,以便允许 2222 端口的流量通过 SELinux。首先需要安装 semanage 工具,如果没有安装,可以使用 yum install policycoreutils-python 命令安装。然后使用 semanage...
`ps`命令还可以用于展示更详细的进程信息,如线程信息(`ps -ejH`或`ps axjf`),以及安全相关的属性(`ps -eo euser,ruser,suser,fuser,f,comm,label`或`ps axZ`)。此外,可以使用`ps -eM`查看进程的SELinux上下文...
首先,使用vi指令编辑/etc/selinux/config文件,并将SELINUX=enforcing行的enforcing修改为disabled。然后,保存并退出。最后,重启系统或使用setenforce 0指令使配置生效。 五、启动Linux smb服务 为了使Linux ...
- `nsupdate`: 更新工具,用于向DNS服务器发送更新指令。 #### 六、配置过程详解 - **配置文件详解**: - 在`/etc/named.conf`中定义区域,指定类型(`master`、`slave`、`hint`、`forward`)、区域数据文件位置等...
同时,关闭SELinux以简化配置,通过编辑/etc/selinux/config文件,将SELINUX设置为disabled,并重启系统。此外,还需要关闭防火墙,允许80端口的HTTP流量,可以使用`iptables -F`清空规则,`chkconfig iptables off`...
安装 Oracle 19C RAC 需要按照官方文档的指令进行操作。首先,需要安装 Grid Infrastructure,然后安装 Oracle Database。 七、结论 本文档详细介绍了在 Linux 7.6 上安装 Oracle 19C RAC 的步骤。按照这些步骤,...
LINUX目录结构包括根目录、bin目录、boot目录、dev目录、etc目录、home目录、lib目录、lib64目录、lost+found目录、media目录、mnt目录、opt目录、proc目录、root目录、run目录、sbin目录、selinux目录、sys目录、...
libsemanage-static-2.5-14.el7.x86_64-86.rpm.tar.gz压缩包是一个包含了多个与SELinux相关的RPM软件包的集合,适用于需要这些软件包来增强Linux系统安全或进行特定开发任务的用户。通过遵循正确的安装指导,用户...
标签“rpm”表明这个文件与rpm包管理工具有关,rpm(RPM软件包管理器)是Linux中广泛使用的软件包管理器,可以用来安装、卸载、更新、查询和管理软件包。 压缩包内的文件名称列表显示,除了gobject-introspection...
首先,文件名"libsemanage-2.5-14.el7.x64-86.rpm.tar.gz"表明这是一个RPM软件包,其中libsemanage指的是SELinux管理工具库的软件包版本,2.5-14是版本号,el7指出了软件包是为Red Hat Enterprise Linux 7或CentOS 7...