ISElinux管理工具.docxVIP

#SElinux 管理工具yum -y install policycoreutils-newrole # Usage: System - Management - SElinux------------------------------------------------------------------------# SElinux信息与开启ls -Z?? ps -Z?? id -Z?? ??? ?# 分别可以看到文件,进程和用户的SELinux属性sestatus seinfo selinuxenabled getenforce?? ??? ?# 查看SElinux信息setenforce [ Enforcing | Permissive | 1 | 0 ]/etc/selinux/config?? ??? ??? ??? ?# 需要重启系统来启动SELinux新的工作模式------------------------------------------------------------------------#chcon 改变SELinux安全上下文chcon -u [user]? 对象????? -r [role]????? -t [type]????? -R 递归????? --reference 源文件目标文件?????????? # 复制安全上下文示例：chcon -R -t samba_share_t /tmp/abc---------------------# restorecon??? # 恢复默认安全上下文---------------------# SElinux查看与设置策略getsebool?? ??? ?# 获取本机selinux策略值，也称为bool值?? ??? ??? ??? ?# selinux的设置一般通过两个部分完成的，一个是安全上下文，另一个是策略，策略值是对安全上下文的补充setsebool -P allow_ftpd_anon_write=1?? ??? ?# -P 是永久性设置，否则重启之后又恢复预设值。示例：[root@redhat files]# setsebool -P allow_ftpd_anon_write=1[root@redhat files]# getsebool allow_ftpd_anon_writeallow_ftpd_anon_write -- on--------------------注意：如果仅仅是安全上下文中设置了vsftpd进程对某一个目录的访问，配置文件中也允许可写，但是selinux中策略中不允许可写，仍然不可写。所以基于selinux保护的服务中，安全高很多。------------------------------------------------------------------------# SElinux对服务的应用selinux的设置分为两个部分，修改安全上下文以及策略，下面收集了一些应用的安全上下文，供配置时使用，对于策略的设置，应根据服务应用的特点来修改相应的策略值。1.3.1 SElinux与samba1．samba共享的文件必须用正确的selinux安全上下文标记。chcon -R -t samba_share_t /tmp/abc如果共享/home/abc，需要设置整个主目录的安全上下文。chcon -R -r samba_share_t /home2．修改策略(只对主目录的策略的修改)setsebool -P samba_enable_home_dirs=1setsebool -P allow_smbd_anon_write=1getsebool 查看samba_enable_home_dirs --onallow_smbd_anon_write -- on /*允许匿名访问并且可写*/1.3.2 SElinux与nfsselinux对nfs的限制好像不是很严格，默认状态下，不对nfs的安全上下文进行标记，而且在默认状态的策略下，nfs的目标策略允许nfs_export_all_ronfs_export_all_ronfs_export_all_rw值为0所以说默认是允许访问的。但是如果共享的是/home/abc的话，需要打开相关策略对home的访问。setsebool -P use_nfs_home_dirs boolean 1getsebool use_nfs_home_dirs1.3.3 SElinux与ftp1．如果ftp为匿名用户共享目录的话，应修改安全上下文。chcon -R -t public_content_t /var/ftpchcon -R -t public_content_