Selinux的基本命令及练习

配置
SELinux

相关命令:

      getenforce: 获取selinux当前状态



      sestatus :查看selinux状态



      setenforce 0|1






               1: 设置为enforcing

配置文件:

      /boot/grub/grub.conf



               使用

selinux=0禁用SELinux

      /etc/sysconfig/selinux



      /etc/selinux/config



      SELINUX={disabled|enforcing|permissive}

修改
SELinux安全标签

给文件重新打安全标签:

      chcon [OPTION]... [-u USER] [-r ROLE] [-t

TYPE] FILE…

      chcon [OPTION]... --reference=RFILE FILE...



      -R:递归打标;

恢复目录或文件默认的安全上下文:

      restorecon [-R] /path/to/somewhere

默认安全上下文查询与修改

semanage 来自 policycoreutils-python包

查看默认的安全上下文

      semanage fcontext –l

添加安全上下文 semanage fcontext -a –t httpd_sys_content_t

‘/testdir(/.*)?’

      restorecon –Rv /testdir

删除安全上下文

      semanage fcontext           -d –t httpd_sys_content_t

‘/testdir(/.*)?’

Selinux端口标签

查看端口标签

semanage port –l

添加端口

semanage port -a -t port_label -p tcp|udp PORT

semanage port -a -t http_port_t -p tcp 9527 v

删除端口

semanage port -d -t port_label -p tcp|udp PORT

semanage port -d -t http_port_t -p tcp 9527

修改

semanage port -m -t port_label -p tcp|udp PORT

semanage port -m -t http_port_t -p tcp 9527

SELinux布尔值

布尔型规则:

      getsebool



      setsebool

查看bool命令:

      getsebool [-a]



      semanage boolean –l



      semanage boolean -l –C 查看修改过的布尔值

设置bool值命令:

      setsebool [-P] boolean value  



      setsebool [-P] Boolean=value

SELinux 日志管理

yum install setroubleshoot* (重启生效)

将错误的信息写入
/var/log/message

grep setroubleshoot /var/log/messages

sealert -l UUID

查看安全事件日志说明

sealert -a /var/log/audit/audit.log

扫描并分析日志

SELinux帮助

yum -y install selinux-policy-devel 7

yum -y install selinux-policy-doc 6

mandb 7

Makewhatis 6

  • httpd服务,改变网站的默认主目录为/website,添加SELinux文件标签规则,设置http_sys_content_t到 /website及目录下所有文件,使网站可访问

   yum -y install httpd | policycoreutils-python | setroubleshoot |               selinux - policy -devel /doc
在用户家目录新建/website即可。
更改
     etc/httpd/conf/httpd.conf

将userdir disabled 禁用
将userdir 后跟的文件夹改为用户家目录的/website文件夹即可

为文件打上标签。
         chcon -t  –t httpd_sys_content_t  ' /website(/.*)?'
         semanage fcontext -a –t httpd_sys_content_t  ' /website(/.*)?'
  • 修改网站端口为9527,增加SELinux端口标签,使网站可访问

         semanage port -m -t http_port_t -p tcp 9527
  • 启用SELinux布尔值,使用户student的家目录可通过 http访问

              setseboo boolean 1

原创文章,作者:sjfbjs,如若转载,请注明出处:http://www.178linux.com/46617

(1)
上一篇 2016-09-19 13:48
下一篇 2016-09-19 13:48

相关推荐

  • 马哥教育网络班21期-第七周课程练习

    第七周 1、创建一个10G分区,并格式为ext4文件系统;    (1) 要求其block大小为2048, 预留空间百分比为2, 卷标为MYDATA, 默认挂载属性包含acl;    (2) 挂载至/data/mydata目录,要求挂载时禁止程序自动…

    学员作品 2016-08-29
  • 马哥教育网络20期+第十四周课程练习

    系统的INPUT和OUTPUT默认策略为DROP; # iptables -P INPUT DROP # iptables -P OUTPUT DROP 1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允…

    学员作品 2016-11-14
  • 马哥教育网络第20期-第一周作业

    第一周博客作业1、 描述计算机的组成及其功能。 运算器、控制器、存储器、输入设备、输出设备运算器、控制器 :cpu 运算和逻辑计算存储器:缓存和保存数据输入设备、输出设备:用户和计算机交互设备和界面 2、 按系列罗列Linux的发行版,并描述不同发行版之间的联系与区别。 Slackware系列: suse   opensuse debian系列: …

    学员作品 2016-06-23
  • 马哥教育网络班20期-第十周课程作业

    请详细描述CentOS系统的启动流程(详细到每个过程系统做了哪些事情) 1)POST:加电自检 2)BOOT Sequence:按次序查找各引导设备,第一个有grub的设备即为本次启动用到设备 3)加载kernel,先自身初始化,探测可识别到的所有硬件设备,加载硬件驱动程序,以只读方式挂载根文件系统,运行用户空间的第一个应用程序:/sbin/init 4)i…

    学员作品 2016-09-08
  • 文本处理三剑客:sed篇

    Stream EDitor, 行编辑器 Sed主要用来自动编辑一个或多个文件,简化对文件的反复操作,编写转换程序等。 工作原理: sed是一种流编辑器,如上图所示,它一次处理一行内容,将读入的那行内容送入模式空间,然后根据sed的编辑命令对其进行响应的操作,处理完成后sed默认会把模式空间中的内容打印至标准输出,如果指定了-n选项,则会禁止这种默认的打印行为…

    学员作品 2016-08-10
  • 【马哥linux运维】–马帮高薪就业系列文章之一线资深运维

    时光荏苒,马哥linux运维在北京开校已经有一些时日了,随着大家对马哥linux的密切关注,来跟随小编走进我们马哥linux运维的北京校区 关于学员就业这点事 很多小伙伴在马哥学习一段时间后,获得了快速的成长,不少学员已经进入著名互联网公司拿到了高薪,有的在成长性公司成为技术骨干,有的已经出国等,我们回顾下最近几个月很多学员的成长,收获,自己的心得感受吧 当…

    2015-11-06

评论列表(1条)

  • 马哥教育
    马哥教育 2016-09-20 14:37

    对命令的使用介绍的很全面,但是内容再充实点就好了。