日期:2014-05-16 浏览次数:20848 次
selinux 是个安全性极高的软件,在安装了发行版linux的操作系统中,都有一些各个厂家的配置,
?
因为在发行版linux出厂时,安装了各种编程工具、网络服务,有些安全性软件本身有很强大的功能,
?
需要对其进行限制, selinux的做法是 ,使用者能被分配预先定义好的角色,以便他们不能存取文件
?
或者访问他们不用的程序.
?
这里我给出一些常用的配置以及命令.
?
selinux 在redhat类型的linux中配置目录为:/etc/selinux/
?
1.配置selinux
?
修改配置文件: /etc/selinux/config
?
默认为:
SELINUX=enforcing
?
可选项有:
enforcing(强制:违反了策略,你就无法继续操作下去)
Permissive(有效,但不强制:违反了策略的话它让你继续操作,但记录日志)
Disabled(禁用)
?
2. 查看现有配置
?
[root@localhost selinux]# getsebool -a abrt_anon_write --> off allow_console_login --> off allow_corosync_rw_tmpfs --> off allow_cvs_read_shadow --> off allow_daemons_dump_core --> on allow_daemons_use_tty --> off allow_domain_fd_use --> on allow_execheap --> off ...?
3.修改配置
?
比如在fedora的发行版里,默认selinux阻止了apache的proxy,使用修改命令修改:
?
[root@localhost selinux]# setsebool httpd_can_network_connect true
?
这里要注意,setsebool命令有个-P 选项, 上边那条命令只能改变当前运行的selinux的配置,如果操作系统重启后,将继续加载默认配置, 如果需要永久改变,需要加入-P选项:
?
[root@localhost selinux]# setsebool -P httpd_can_network_connect true
?
4.查看当前运行selinux的状态
?
[root@localhost selinux]# sestatus -bv SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 24 Policy from config file: targeted Policy booleans: abrt_anon_write off allow_console_login off allow_corosync_rw_tmpfs off allow_cvs_read_shadow off allow_daemons_dump_core on allow_daemons_use_tty off ...
?
5.查看selinux所能控制软件的内核模块
?
[root@localhost selinux]# semodule -l abrt 1.1.0 accountsd 1.0.0 ada 1.4.0 afs 1.5.3 aiccu 1.0.0
?
这里我们看下apache的
?
[root@localhost selinux]# semodule -l|grep apache apache 2.1.2?
6.查看警告日志
?
这里selinux的日志是二进制压缩的,所以速度比较慢
?
[root@linuxas selinux]# touch selinux-alert.log [root@linuxas selinux]# sealert -a selinux-alert.log