1、相关命令和配置文件
[root@centos6 ~]#sestatus ---查看seliux的状态
SELinux status: enabled
SELinuxfs mount: /selinux
Current mode: permissive
Mode from config file: permissive
Policy version: 24
Policy from config file: targeted
[root@centos6 ~]#getenforce ---查看当前状态
Permissive
[root@centos6 ~]#setenforce 0 ---禁用selinux
[root@centos6 ~]#getenforce
Permissive
[root@centos6 ~]#setenforce 1 ---启用selinux
[root@centos6 ~]#getenforce
Enforcing
配置文件:
/boot/grub/grub.conf ---可以在这个文件中禁用
使用selinux=0禁用SELinux
/etc/selinux/config ---也可以在这个文件中禁用或启用
2、selinux安全上下文
所有文件和端口资源和进程都具备安全标签,也被称为安全上下文(security context),存放在inode节点表里的扩展属性
安全上下文有五个元素组成:
user:role:type:sensitivity:category
User:指示登录系统的用户类型,如root,user_u,system_u,多数本地进程都属于自由(unconfined)进程
Role:定义文件,进程和用户的用途:文件:object_r,进程和用户:system_r
Type:指定数据类型,规则中定义何种进程类型访问何种文件Target策略基于type实现,多服务共用:public_content_t
Sensitivity:限制访问的需要,由组织定义的分层安全级别,如unclassified,secret,top,secret, 一个对象有且只有一个sensitivity,分0-15级,s0最低,Target策略默认使用s0
Category:对于特定组织划分不分层的分类,如FBI Secret,NSA secret, 一个对象可以有多个categroy,c0-c1023共1024个分类,Target 策略不使用category
[root@centos6 app]#ll -Z ---可以显示文件的扩展属性,也就是安全
标签,文件的权限后面有个点,表示有selinux策略,表示有安全标签
-rwxr-xr-x. root root unconfined_u:object_r:file_t:s0 copycmd.sh
-rw-------. root root unconfined_u:object_r:default_t:s0 f1.nPle
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 ff
-rw-r--r--. root root system_u:object_r:default_t:s0 fstab
-rw-------. root root system_u:object_r:default_t:s0 grub.conf
-rwxr-xr-x. root root system_u:object_r:default_t:s0 init
[root@centos6 app]#ps auxZ ---显示进程的安全标签
LABEL USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
system_u:system_r:init_t:s0 root 1 0.0 0.1 19364 1536 ? Ss 10:56 0:01 /sbin/init
[root@centos6 app]#ll -Z /var/log/messages ---显示文件的安全标签
-rw-------. root root system_u:object_r:var_log_t:s0 /var/log/messages
[root@centos6 app]#semanage fcontext -l |grep "/var/log/messages"
---查看系统期望的安全上下文,发现实际和期望的是一样的
系统期望的安全上下文存放在二进制的SELinux策略库中
/var/log/messages[^/]* all files system_u:object_r:var_log_t:s0
[root@centos6 app]#cp -a /var/log/messages . ---把这个文件备份到当前目录
[root@centos6 app]#ll -Z messages ---我们发现安全上下文没有发生变化
-rw-------. root root system_u:object_r:var_log_t:s0 messages
[root@centos6 app]#cp /var/log/messages ./messages1f ---但不
加-a选项时,我们发现安全上下文发生改变了,说明cp的时候会改变
安全上下文
[root@centos6 app]#ll -Z messages1f
-rw-------. root root unconfined_u:object_r:default_t:s0 messages1f
如果安全上下文件发生改变,不是系统期望的安全上下文时,有些进
程就可能访问不了这个文件,造成服务发生故障。
[root@centos6 app]#mv messages1f /root
[root@centos6 app]#cd
[root@centos6 ~]#ls
anaconda-ks.cfg install.log install.log.syslog messages1f nohup.out
[root@centos6 ~]#ll -Z messages1f ---移动是安全上下文没有发生改变
-rw-------. root root unconfined_u:object_r:default_t:s0 messages1f
3、修改文件的安全标签
[root@centos6 app]#semanage fcontext -l |grep "/var/log/messages" ---期望的安全上下文标签
/var/log/messages[^/]* all files system_u:object_r:var_log_t:s0
[root@centos6 app]#ll -Z messages ---目前的安全标签
-rw-------. root root unconfined_u:object_r:default_t:s0 messages
[root@centos6 app]#chcon -u system_u: -t var_log_t messages
chcon: failed to set user security context component to `system_u:': Invalid argument
[root@centos6 app]#chcon -u system_u -t var_log_t messages ---修改安全标签
[root@centos6 app]#ll -Z messages
-rw-------. root root system_u:object_r:var_log_t:s0 messages
[root@centos6 app]#semanage fcontext -a -t default_t '/app(/.*)?'
表示对于/app这个目录或者这个目录下文件,把 default_t这个安全标
签添加到SELinux策略数据库中,此时这个标签就是这个目录或者这
个目录下文件的期望安全上下文。(/.*)?表示/后面加任意字符串,可
有可无,就是说对于/app这个目录或者这个目录下的文件设置期望的
安全上下文
[root@centos6 app]#restorecon -Rv /app ---将这个目录和这个目录
下的所有文件和恢复为期望的安全上下文 -R 是递归,v是显示过程
[root@centos6 app]#semanage fcontext -l |grep "/app" ---查看期望的安全上下文
/usr/lib/oracle/xe/apps(/.*)? all files system_u:object_r:bin_t:s0
/usr/share/rhn/rhn_applet/applet\.py regular file system_u:object_r:bin_t:s0
/usr/share/system-config-printer/applet\.py regular file system_u:object_r:bin_t:s0
/app(/.*)? all files system_u:object_r:default_t:s0
[root@centos6 app]#semanage fcontext -d -t default_t '/app(/.*)?' ---从SELinux策略数据库中删除安全上下文
[root@centos6 app]#semanage fcontext -l |grep "/app"
/usr/lib/oracle/xe/apps(/.*)? all files system_u:object_r:bin_t:s0
/usr/share/rhn/rhn_applet/applet\.py regular file system_u:object_r:bin_t:s0
/usr/share/system-config-printer/applet\.py regular file system_u:object_r:bin_t:s0
4、修改端口的安全标签
查看端口标签
semanage port –l
添加端口
semanage port -a -t port_label -p tcp|udp PORT
semanage port -a -t http_port_t -p tcp 9527
删除端口
semanage port -d -t port_label -p tcp|udp PORT
semanage port -d -t http_port_t -p tcp 9527
修改现有端口为新标签
semanage port -m -t port_label -p tcp|udp PORT
semanage port -m -t http_port_t -p tcp9527
举例
[root@centos6 app]#semanage port -a -t http_port_t -p tcp 9527
[root@centos6 app]#semanage port -l|grep "http"
http_cache_port_t tcp 3128, 8080, 8118, 8123, 10001-10010
http_cache_port_t udp 3130
http_port_t tcp 9527, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t tcp 5988
pegasus_https_port_t tcp 5989
5、SELinux布尔值
布尔型规则:
getsebool
setsebool
查看bool命令:
getsebool[-a] [boolean]
semanageboolean–l
semanageboolean-l –C 查看修改过的布尔值
设置bool值命令:
setsebool[-P] booleanvalue(on,off)
setsebool[-P] Boolean=value(0,1)
举例
[root@centos6 app]#getsebool -a |grep ftp ---查看布尔值
allow_ftpd_anon_write --> off ---允许ftp匿名写
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_use_fusefs --> off
ftpd_use_passive_mode --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_use_cifs --> off
tftp_use_nfs --> off
[root@centos6 app]#setsebool allow_ftpd_anon_write on ---修改布尔值,加上-p
选项就是永久修改,不然开启重启就失效了
[root@centos6 app]#getsebool -a |grep ftp
allow_ftpd_anon_write --> on
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_use_fusefs --> off
ftpd_use_passive_mode --> off
httpd_enable_ftp_server --> off
tftp_anon_write --> off
tftp_use_cifs --> off
tftp_use_nfs --> off