16.5.4 【Linux】SELinux 政策内的规则管理

SELinux 各个规则的布林值查询 getsebool

如果想要查询系统上面全部规则的启动与否 (on/off,亦即布林值),很简单的通过 sestatus-b 或 getsebool -a 均可!

16.5.4 【Linux】SELinux 政策内的规则管理_第1张图片

SELinux 各个规则规范的主体程序能够读取的文件 SELinux type 查询 seinfo, sesearch

安装完毕可以使用seinfo,sesearch指令。

16.5.4 【Linux】SELinux 政策内的规则管理_第2张图片

统计数据直接输入seinfo。

16.5.4 【Linux】SELinux 政策内的规则管理_第3张图片

修改 SELinux 规则的布林值 setsebool

如果查询到某个 SELinux rule,并且以 sesearch 知道该规则的用途后,想要关闭或启动他,又该如何处置?

16.5.4 【Linux】SELinux 政策内的规则管理_第4张图片

setsebool最好记得加上-P的选项,这样才能将此写入配置文件中。

16.5.5 SELinux安全本文的修改

使用 chcon 手动修改文件的 SELinux type

16.5.4 【Linux】SELinux 政策内的规则管理_第5张图片

使用 restorecon 让文件恢复正确的 SELinux type

16.5.4 【Linux】SELinux 政策内的规则管理_第6张图片

semanage 默认目录的安全性本文查询与修改

16.5.4 【Linux】SELinux 政策内的规则管理_第7张图片

看到上面输出的最后一行,那也是为啥我们直接使用 vim 去 /etc/cron.d 下面创建新文件时,默认的 SELinux type 就是正确的。 同时,我们也会知道使用 restorecon 回复正确的SELinux type 时,系统会去判断默认的类型为何的依据。我们要创建一个 /srv/mycron 的目录,这个目录默认也是需要变成system_cron_spool_t 时, 我们应该要如何处理呢?基本上可以这样作:

16.5.4 【Linux】SELinux 政策内的规则管理_第8张图片

可以使用 semanage 来查询所有的目录默认值,也能够使用他来增加默认值的设置。

你可能感兴趣的:(Linux,linux,运维,服务器)