SElinux 配置
selinux 是个安全性极高的软件,在安装了发行版linux的操作系统中,都有一些各个厂家的配置,因为在发行版linux出厂时,安装了各种编程工具、网络服务,有些安全性软件本身有很强大的功能,
需要对其进行限制, selinux的做法是 ,使用者能被分配预先定义好的角色,以便他们不能存取文件
或者访问他们不用的程序.
这里我给出一些常用的配置以及命令.
selinux 在redhat类型的linux中配置目录为:/etc/selinux/
1.配置selinux
修改配置文件: /etc/selinux/config
默认为:
SELINUX=enforcing
可选项有:
enforcing(强制:违反了策略,你就无法继续操作下去)
Permissive(有效,但不强制:违反了策略的话它让你继续操作,但记录日志)
Disabled(禁用)
2. 查看现有配置
# getsebool -aabrt_anon_write --> offallow_console_login --> offallow_corosync_rw_tmpfs --> offallow_cvs_read_shadow --> offallow_daemons_dump_core --> onallow_daemons_use_tty --> offallow_domain_fd_use --> onallow_execheap --> off... 3.修改配置
比如在fedora的发行版里,默认selinux阻止了apache的proxy,使用修改命令修改:
# setsebool httpd_can_network_connecttrue
这里要注意,setsebool命令有个-P 选项, 上边那条命令只能改变当前运行的selinux的配置,如果操作系统重启后,将继续加载默认配置, 如果需要永久改变,需要加入-P选项:
# setsebool -P httpd_can_network_connecttrue
4.查看当前运行selinux的状态
# sestatus -bvSELinux status: enabledSELinuxfs mount: /selinuxCurrent mode: enforcingMode from config file: enforcingPolicy version: 24Policy from config file: targetedPolicy booleans:abrt_anon_write offallow_console_login offallow_corosync_rw_tmpfs offallow_cvs_read_shadow offallow_daemons_dump_core onallow_daemons_use_tty off...
5.查看selinux所能控制软件的内核模块
# semodule -labrt 1.1.0accountsd 1.0.0ada 1.4.0afs 1.5.3aiccu 1.0.0
这里我们看下apache的
# semodule -l|grep apacheapache2.1.2 6.查看警告日志
这里selinux的日志是二进制压缩的,所以速度比较慢
# touch selinux-alert.log# sealert -a selinux-alert.log
页:
[1]