码迷,mamicode.com
首页 > 系统相关 > 详细

[学习记录]SELinux操作工具

时间:2019-10-09 15:58:20      阅读:118      评论:0      收藏:0      [点我收藏+]

标签:复杂   关于   安全   name   描述   自动   httpd   man   nis   

本文将简要介绍SELinux的相关操作工具

 

setsebool -P 变量名=[1|0]

设置selinux策略中指定变量的bool值,可选的变量名称可以使用getsebool -a查看

 可选变量含义可以参考以下页面

https://linux.die.net/man/8/ftpd_selinux

https://linux.die.net/man/8/named_selinux

https://linux.die.net/man/8/rsync_selinux

https://linux.die.net/man/8/httpd_selinux

https://linux.die.net/man/8/nfs_selinux

https://linux.die.net/man/8/samba_selinux

https://linux.die.net/man/8/kerberos_selinux

https://linux.die.net/man/8/nis_selinux

https://linux.die.net/man/8/ypbind_selinux

https://linux.die.net/man/8/named_selinux

 

audit2allow

会扫描被记录到日志中的最近系统拒绝的操作记录,然后生成一个可以允许这些操作执行的新策略

具体改动流程蛮复杂的,日后补充

 

semanage

semanage fcontext -l:展示所有目录的类型和安全上下文

也可以是同-a增加目录与上下文、-m修改以及-d删除

 

restorecon

恢复文件安全上下文,如果没有安全上下文则按照规则为其配置默认的安全上下文

也会根据最新的策略对有变动的安全上下文进行刷新

 

chcon

临时修改安全上下文,通过-u -r -t -l 指定修改的安全上下文中的用户、角色、类型和范围,一般类型用的最多

chcon -t  context file

 

matchpathcon    目录或文件

显示目标的默认安全上下文

 

chcat

用来更改文件selinux安全类别,暂不清楚如何使用

 

semodule

用来管理selinux的策略模块

 

sestatus

用来获取selinux的状态

-v 追加显示部分目录的安全上下文

-b 追加显示当前策略中的bool

 

setfiles

初始化文件的安全上下文,当selinux安装时会自动运行,也可以单独运行它来更正错误或增加对新策略的支持

 

audit2why

selinux的审计日志转换为关于拒绝访问原因的描述

 

fixfiles

修复错误的安全上下文,也可以随时运行用以对新策略进行支持。

fixfiles进行的修复将在系统重启后生效

 

getenorce

获取selinux的状态,强制、允许还是禁用

 

setenforce

修改selinux的运行模式

 

runcon

在指定的上下文中运行命令

 

newrole

 

用新的selinux用户运行shell

 

 

技术图片

 

[学习记录]SELinux操作工具

标签:复杂   关于   安全   name   描述   自动   httpd   man   nis   

原文地址:https://www.cnblogs.com/trickofjoker/p/11641838.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!