- 手動開啟/關閉/查詢 SELINUX狀態的方法在Limx操作系統運行過程中無法使用命令停用 SELINUX,可以在內核啟動參數或使用修改配置文件的方式去關閉 SELINUX安全機制。若只是要將 SELINUX安全機制轉為“警告模式Warn/Permissive Enforcing)”,則可利用如下命令進行。
l? setenforce1:將 SELINUX設定成啟用模式。
l? setenforce0:將 SELINUX設定成警告模式.
l? sestatus:查詢系統目前的 SELINUX狀態? ?
- 為了設定方使, Selinux中內建了許多布爾值 boolean I的參數,可以通過修改這些參數接來變更一些 Selinux的設定。 SELINUX布爾值 booleans屬性的操作,常用的命令有如下兩Getsebool:取得目前系統上 Selinux booleans屬性的狀態格式: getsebool [-al[boolean)getsebool-a可取得所有 booleans的屬性狀態。setsebool:立即變更 Selinux booleans的屬性。格式: setsebool [-P] boolean value I boll= all bool-val2FP]:若沒有附加-P選項,只會變更目前系統 Selinux booleans屬性,但并沒有去更新設定文件的狀態,下次重新開機,還是會恢復到原來的屬性。若需要永久變更這個屬性,必須多選項便將設定文件一并變更ol-phttpdenableho說明:永久開啟httpdenablehomedirs屬性,讓htpd可以讀取每個用戶的家目錄下的個網頁若需要單獨關閉某個服務的 SELINUX機制,可直接使用命令 setsebool -P Iprogram名稱應用實例如下disable_trans=1即可。例如,若想要關閉 dhcpd的 Selinux檢查機制,可直接使用如下命令:setsebool -P dhcp _disable_ trans=1。然后重新啟動。
-
Targeted Policy的上下文 contexts屬性設定
上下文 contexts屬性用來控制系統中每個用戶、進程、文件案及目錄的 SELINUX權限它可用來設定每個user、 process、文件及目的屬性,可針對某個 process I的某個行為作嚴格的讀寫限制:也就是說,文件案可以針對某個身份(ur)、某個程序( program)的某個行為開放讀寫權限,可以做到最細致的權限調整,無須擔心程序溢位( overflow)問題,從面造成文件案數據外泄或遭簾改。? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
(1) SELINUX的上下文格式如下:
·user_u: system_r: unconfined_t上述字符使用:分隔,第一個字段為用戶{user},第二個字段為角色{rule},第三個字段為類型{type}。其他字段可以忽略
SELINUX、(2)安全相關上下文 contexts屬性的操作命令較多,簡單介紹幾個常用命令如下:ls-Z和ps-Z命令用來査詢上下文,-Z(大寫)參數專為 SELINUX而增加。應用實例如下。
·ls-alZ:查看文件案目錄的 contexts屬性。id-Z:查看目前使用者身份的 contexts屬性。如:
·id –Z
User_u: system_r: unconfined_t: systemlow-systemhigh上下文屬性為{user}:{tule}: {type}:{ FMCS/MLS translations}
·ps-eZ:查看 process I的 contexts屬性。如:
shell 教程?· pd –eZ
(3)設置上下文命令restorecon:改寫部分目錄內所有文件案目錄的上下文 contexts重寫home目錄底下所有文件案系統的上下文 contexts:
· restorecon? -v? -R ??/home
·chcon:手動更改文件案或目錄的上下文 contexts應用實例如下快速指定安全上下文 contexts給特定的目錄,使用如下命
- chcon user_u: object_r: public_content_rw_t? -R? /home/tea001另外, Redhat Linux系統提供了一個圖形工具( system-config-selinux),可以使用它來設置.
Selinux運維包括8個部分:狀態,布爾值,文件標記,用戶映射,selinux用戶,進程域,網絡端口和策略模塊。
-
shell基礎知識。使用命令行工具管理selinux
1).setenforce:設置selinux模式
用法:sentence[Enforcing/Permissive/1/0]
·Enforcing :設置為強制模式
·Permissive:設置為允許模式
shell入門教程、·1 :設置模式為強制(臨時關閉)
·0 :設置模式為允許
2)getenforce:查看selinux模式
3)setsebool:設置selinux布爾值
·-P 設置永久
LINUX系統、設置布爾變量ftpd_disable_trans為on
#setsebool ftpd_disable_trans=on
4)getsebool:查看selinux布爾值
·-a?? 顯示所有布爾值
5)sestatus:selinux狀態查看工具
vim實用技巧?6)avcstat:顯示avc統計信息
7)audit2allow:生成策略允許規則
8)semanage:管理selinux策略
9)semodule:管理策略模塊
10)chact:改變語境類別
redis入門指南、11)restorecon:恢復文件安全語境
12)chcon:改變文件安全語境
13)setfiles:設置文件安全語境
14)seinfo:提取策略的規則數量統計信息
15)sesearch:搜索policy.conf或二進制策略中特別的類型
16)sealert:selinux訊息診斷客戶端工具
-
selinux的操作會體現到日志中,包括/var/log/messages文件和/var/log/audit/audit.log文件。當selinux發生拒絕某些目錄或者目錄被訪問時,通知方式會出現在桌面的右上角。
6.auditctl:對kernel中的audit進行控制,可以用來獲取audit狀態增刪audit規則,auditctl命令控制行為、得到狀態,從內核審計系統增加刪除規則
用法:suditctl? [options]??
-
使用aureport生成報表、使用ausearch命令搜索記錄
-
seaudit工具查看Linux用戶空間審計系統信息
Linux提供了用來記錄系統的安全信息的審計系統,審計系統分為用戶空間和內核空間審計系統,用戶空間審計系統用來設置規則和審計系統狀態、將內核審計系統傳來的審計消息寫入log文件,內核審計系統用來產生和過濾內核的各種審計消息、用戶空間審計系統通常是和selinux系統配合使用的。防火墻的使用,使用system-config-firewalld和fwbuilder快速構架Linux防火墻。