配置SELinux

1.SELINUX软件包:

policycoreutils-python:提供semanage等管理工具

policycoreutils:提供restorecon、setfiles、setsebool等管理工具

policycoreutils-gui:提供图形管理工具

selinux-policy:提供selinux的参考策略

selinux-policy-targeted:提供目标策略

selinux-policy-mls:提供MLS策略

setroubleshoot:提供SELinux诊断工具,解释selinux AVC数据,生成警告报告


2.SELinux主配置文件

/etc/selinux/config

SELINUX=enforcing ##可配置为enforcing(强制)、permissive(宽容,只记录不拦截)、disabled(禁用)

SELINUXTYPE=targeted  ##可配置为targeted(目标)、mls(多级安全,注意安装软件支持)

注意:修改完成后需重新启动


3.启用、禁用selinux

方法一:临时生效、重启后失效

setenforce 1 (强制)

setenforce 0 (宽容)

查看selinux的状态:

getenforce  ##查看运行状态即只显示:enforcing、permissive、disabled

sestatus  ##查看selinux启用状态、运行状态、目标策略等

方法二:永久生效

vi /etc/selinux/config

SELINUX=enforcing  ##启用、禁用可将值设置为disabled

注意:当设置为permissive时,

grep "SELinux is perventing" /var/log/messages查看日志中有无触发强制规则的事件。


4.SELinux日志

SELinux的拒绝日志通常是借助audit日记文件记录的,可查看AVC相关项:

tail /var/log/audit.log |grep AVC