selinux简单指南

技术分享 Story 106浏览 0评论
摘要

selinux简单指南

1.配置文件
selinux的配置文件:/etc/sysconfig/selinux
配置文件主要的内容只有二行

SELINUX=enforcing

以上是指selinux的启用状态为enforcing(强制),除了可以选择强制外,还可以选择permissive(许可,但有警告)和disabled(禁用).

SELINUXTYPE=targeted
这个参数,有二个选项targeted和strice。分别主要是targeted只控制网络程式。另外rhel4中,不支持strice.
当然,不想vi的话,可以使用system-config-securitylevel-tui启用和管理他.

2.selinux常用控制
sestatus 可以看到当前的selinux的信息.可以在当中看到那些程式有selinux的保护.
setenforce (0|1) 当选择0时disabled无效,告诉1时为permissive有效.
getsebool 对单个选项进行控制
例: getsebool httpd_disable_trans 加sestatus中显示的常用控制的选项.可以显示单条内容的状态.
getsebool -P httpd_disable_trans=1 改变单条记录的值.P的意思,是改变默认值(boolens).

booleans值(默认值)的位置:/etc/selinux/targeted/booleans
3.应用
ps -Z 显示进程的contexts
ls -Z 显示文件的contexts
chcon 改变contexts
例 chcon -t(属性) user_home_t(值) install.log(文件名)
runcon 改变属性测试
例 runcon -t(属性) httpd_t(apacht) cat /etc/passwd 测试使用httpd是否能读到passwd

4.排错
检查 /var/log/messages 有关avc的denials信息
检查target的信息
检查Boolean的设置

转载请注明:成长的对话 » selinux简单指南