Linux(入门基础):99--- SELinux安全上下文的修改(chcon、restorecon、semanage命令)

一、chcon命令

1.功能

  • 手动修改文件的SELinux安全上下文

2.命令格式

  • chcon  [-R]  [-t  type]  [-u  user]  [-r  role]  文件
  • chcom  [-R]  --reference=范例文件   文件

相关参数与选项

  • -R:连同该目录下的子目录也同时修改
  • -t:后面接安全上下文的类型栏位。例如:httpd_sys_content_t
  • -u:后面接身份识别(不重要)。例如:system_u
  • -r:后面接角色(不重要)。例如:system_r
  • -v:若有变动成功,将变动的结果列出来
  • --reference:拿某个文件当范例来修改后续接的文件的类型

3.演示案例

  • 案例一:我们将一个文件的SELinux类型修改为/etc/hosts文件的SELinux类型
  • 第一步:在家目录下建立一个文件,然后移动到/etc/cron.d目录下。可以看到test文件的SELinux类型为admin_home_t

Linux(入门基础):99--- SELinux安全上下文的修改(chcon、restorecon、semanage命令)_第1张图片

  • 第二步:将test的SELinux变为/etc/hosts文件的SELinux类型

  • 第三步:修改之后查看

  • 案例二:我们利用--reference选项再将test文件改为/etc/shadow文件的SELinux类型
  • 第一步:查看/etc/shadow的SELinux类型

  • 第二步:利用--reference选项修改

二、restorecon命令

1.功能

  • 让文件的SELinux类型恢复为默认的SELinux类型
  • 默认的SELinux类型与semanage命令有关,就是参考semanage这个命令所查询处的默认SELinux类型

2.命令格式

  • restorecon  [-Rv]  文件/目录

相关参数

  • -R:连同子目录一起修改
  • -v:将过程显示到屏幕

3.演示范例

  • 案例:我们将上面的test文件的SELinux类型改为默认的SELinux类型
  • 第一步:我们查看/etc/cron.d目录的SELinux类型为:system_cron_spool_t

  • 第二步:使用-R选项使/etc/cron.d目录的SELinux类型恢复为默认SELinux类型

可以看到该目录下test文件的SELinux类型被修改为system_cron_spool_t

三、semanage命令

1.功能

  • 查询/修改/增加/删除文件的默认SELinux类型

2.命令格式

  • semanage  [login/user/port/interface/fcontext/translation]   -l
  • semanage   fcontext  -{a/d/m}  [-frst]  file_spec

相关参数与选项

  • -l:查询
  • fcontext:主要用在安全上下文方面的用途(常用的)
  • -a:增加的意思,你可以增加一些目录的默认安全上下文类型设置
  • -m:修改的意思
  • -d:删除的意思

3.演示案例

  • 案例一:查看/etc/crom目录的默认SELinux类型。可以看到为system_cron_spool_t。并且目录下的all files都是这个类型

  • 案例二:查看/etc目录的默认SELinux类型。可以看到为etc_t

  • 案例三:验证一个目录的SELinux类型是否会影响到目录下的文件/子目录
  • 第一步:建立一个/srv/mycron目录,然后将/etc/cron.d/test文件复制到/srv/mycron目录下,查看一下SELinux的类型。可以看到都为var_t

Linux(入门基础):99--- SELinux安全上下文的修改(chcon、restorecon、semanage命令)_第2张图片

  • 第二步:查看/srv/目录的SELinux类型,可以看到是var_t,所以上面那个目录和文件也是

  • 案例四:承上,将/srv/mycron目录的SELinux默认值修改为system_cron_spool_t。可以看到已经修改了

  • 案例五:承上,将/srv/mycron/目录下的所有文件都修改为自己的默认SELinux类型。然后再查看

你可能感兴趣的:(Linux(入门基础))