selinux的配置
参考自鸟哥的私房菜:http://linux.vbird.org/
SELinux是MandatoryAccessControl的一种。
主体与客体安全性文本
修改安全性文本
[root@www~]#chcon[-R][-ttype][-uuser][-rrole]檔案
[root@www~]#chcon[-R]--reference=範例檔檔案
選項與參數:
-R:連同該目錄下的次目錄也同時修改;
-t:後面接安全性本文的類型欄位!例如httpd_sys_content_t;
-u:後面接身份識別,例如system_u;
-r:後面街角色,例如system_r;
--reference=範例檔:拿某個檔案當範例來修改後續接的檔案的類型!
重置安全性文本
選項與參數:
-R:連同次目錄一起修改;
-v:將過程顯示到螢幕上
SELinux日志
setroubleshoot将错误信息写入/var/log/messages
auditd将详细错误写入/var/log/audit/audit.log
SELinux政策查询
選項與參數:
-A:列出SELinux的狀態、規則布林值、身份識別、角色、類別等所有資訊
-t:列出SELinux的所有類別(type)種類
-r:列出SELinux的所有角色(role)種類
-u:列出SELinux的所有身份識別(user)種類
-b:列出所有規則的種類(布林值)
[root@www~]#sesearch[-a][-s主體類別][-t目標類別][-b布林值]
選項與參數:
-a:列出該類別或布林值的所有相關資訊
-t:後面還要接類別,例如-thttpd_t
-b:後面還要接布林值的規則,例如-bhttpd_enable_ftp_server
预设安全性文本的修改
[root@www~]#semanagefcontext-{a|d|m}[-frst]file_spec
選項與參數:
fcontext:主要用在安全性本文方面的用途,-l為查詢的意思;
-a:增加的意思,你可以增加一些目錄的預設安全性本文類型設定;
-m:修改的意思;
-d:刪除的意思。
自定义安全性策略
自定义安全策略使用audit2allow这个工具
grep nagios_t /var/log/audit/audit.log | grep -v default_t | audit2allow -M nagiosType
这个命令根据日志,自定义的输入流来生成哪些特殊情况将被放行。
之后会生成nagiosType.te与nagiosType.pp两个文件。
插入自定义的selinux模块
semodule -i nagiosType.pp
移除自定义的selinux模块
semodule -r nagiosType