日期:2014-05-16  浏览次数:20667 次

selinux的配置
参考自鸟哥的私房菜:http://linux.vbird.org/
SELinux是Mandatory Access Control的一种。
主体与客体安全性文本


修改安全性文本
引用

[root@www ~]# chcon [-R] [-t type] [-u user] [-r role] 檔案
[root@www ~]# chcon [-R] --reference=範例檔 檔案
選項與參數:
-R  :連同該目錄下的次目錄也同時修改;
-t  :後面接安全性本文的類型欄位!例如 httpd_sys_content_t ;
-u  :後面接身份識別,例如 system_u;
-r  :後面街角色,例如 system_r;
--reference=範例檔:拿某個檔案當範例來修改後續接的檔案的類型!


重置安全性文本
引用
[root@www ~]# restorecon [-Rv] 檔案或目錄
選項與參數:
-R  :連同次目錄一起修改;
-v  :將過程顯示到螢幕上



SELinux日志
setroubleshoot将错误信息写入/var/log/messages
引用
# chkconfig setroubleshoot on


auditd将详细错误写入/var/log/audit/audit.log
引用
# chkconfig auditd on


SELinux政策查询
引用
[root@www ~]# seinfo [-Atrub]
選項與參數:
-A  :列出 SELinux 的狀態、規則布林值、身份識別、角色、類別等所有資訊
-t  :列出 SELinux 的所有類別 (type) 種類
-r  :列出 SELinux 的所有角色 (role) 種類
-u  :列出 SELinux 的所有身份識別 (user) 種類
-b  :列出所有規則的種類 (布林值)

引用

[root@www ~]# sesearch [-a] [-s 主體類別] [-t 目標類別] [-b 布林值]
選項與參數:
-a  :列出該類別或布林值的所有相關資訊
-t  :後面還要接類別,例如 -t httpd_t
-b  :後面還要接布林值的規則,例如 -b httpd_enable_ftp_server


预设安全性文本的修改
引用
[root@www ~]# semanage {login|user|port|interface|fcontext|translation} -l
[root@www ~]# semanage fcontext -{a|d|m} [-frst] file_spec
選項與參數:
fcontext :主要用在安全性本文方面的用途, -l 為查詢的意思;
-a :增加的意思,你可以增加一些目錄的預設安全性本文類型設定;
-m :修改的意思;
-d :刪除的意思。


自定义安全性策略
自定义安全策略使用audit2allow这个工具
grep nagios_t /var/log/audit/audit.log | grep -v default_t | audit2allow -M nagiosType

这个命令根据日志,自定义的输入流来生成哪些特殊情况将被放行。
之后会生成nagiosType.te与nagiosType.pp两个文件。
插入自定义的selinux模块
semodule -i nagiosType.pp

移除自定义的selinux模块
semodule -r nagiosType