日期:2014-05-16  浏览次数:20848 次

SElinux 配置

selinux 是个安全性极高的软件,在安装了发行版linux的操作系统中,都有一些各个厂家的配置,

?

因为在发行版linux出厂时,安装了各种编程工具、网络服务,有些安全性软件本身有很强大的功能,

?

需要对其进行限制, selinux的做法是 ,使用者能被分配预先定义好的角色,以便他们不能存取文件

?

或者访问他们不用的程序.

?

这里我给出一些常用的配置以及命令.

?

selinux 在redhat类型的linux中配置目录为:/etc/selinux/

?

1.配置selinux

?

修改配置文件: /etc/selinux/config

?

默认为:

SELINUX=enforcing

?

可选项有:

enforcing(强制:违反了策略,你就无法继续操作下去)

Permissive(有效,但不强制:违反了策略的话它让你继续操作,但记录日志)

Disabled(禁用)

?

2. 查看现有配置

?

[root@localhost selinux]# getsebool -a
abrt_anon_write --> off
allow_console_login --> off
allow_corosync_rw_tmpfs --> off
allow_cvs_read_shadow --> off
allow_daemons_dump_core --> on
allow_daemons_use_tty --> off
allow_domain_fd_use --> on
allow_execheap --> off
...
?

3.修改配置

?

比如在fedora的发行版里,默认selinux阻止了apache的proxy,使用修改命令修改:

?

[root@localhost selinux]# setsebool httpd_can_network_connect  true 

?

这里要注意,setsebool命令有个-P 选项, 上边那条命令只能改变当前运行的selinux的配置,如果操作系统重启后,将继续加载默认配置, 如果需要永久改变,需要加入-P选项:

?

[root@localhost selinux]# setsebool -P httpd_can_network_connect  true

?

4.查看当前运行selinux的状态

?

[root@localhost selinux]# sestatus -bv
SELinux status:                 enabled
SELinuxfs mount:                /selinux
Current mode:                   enforcing
Mode from config file:          enforcing
Policy version:                 24
Policy from config file:        targeted

Policy booleans:
abrt_anon_write                             off
allow_console_login                         off
allow_corosync_rw_tmpfs                     off
allow_cvs_read_shadow                       off
allow_daemons_dump_core                     on
allow_daemons_use_tty                       off
...

?

5.查看selinux所能控制软件的内核模块

?

[root@localhost selinux]# semodule -l
abrt    1.1.0
accountsd       1.0.0
ada     1.4.0
afs     1.5.3
aiccu   1.0.0

?

这里我们看下apache的

?

[root@localhost selinux]# semodule -l|grep apache
apache  2.1.2
?

6.查看警告日志

?

这里selinux的日志是二进制压缩的,所以速度比较慢

?

[root@linuxas selinux]# touch selinux-alert.log
[root@linuxas selinux]# sealert -a selinux-alert.log