setsebool命令详解与SELinux管理
setsebool命令是用来修改SElinux策略内各项规则的布尔值。setsebool命令和getsebool命令是SELinux修改和查询布尔值的一套工具组。SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面让我们详细讲解一下setsebool命令的使用方法。
语法
setsebool [-P] 布尔值=[0|1]
选项
-P:直接将设置值写入配置文件,该设置数据将来会生效的。
实例
setsebool -P allow_ftpd_anon_write=1 #允许ftpd匿名用户可写 setsebool -P ftp_home_dir 1 #允许用户访问自己的根目录 setsebool -P ftpd_is_daemon 1 #允许daemon运行ftpd setsebool -P ftpd_disable_trans 1 #关闭SELINUX对ftpd的保护 setsebool -P allow_httpd_anon_write=1 #允许httpd匿名用户可写 setsebool -P allow_httpd_sys__anon_write=1 #同上 setsebool -P httpd_enable_cgi 1 #httpd被设置允许cgi被执行 setsebool -P httpd_enable_homedirs 1 #允许访问用户的根目录 setsebool -P httpd_tty_comm 1 #允许httpd控制终端 setsebool -P httpd_unified 0 #httpd之间相互独立 setsebool -P httpd_builtin_ing 0 #同httpd环境一样运行 setsebool -P httpd_can_network_connect_db 1 #httpd可以连接到数据库(如连接mysql就必须设置) setsebool -P httpd_can_network_connect 1 #httpd可以连接到网络(如连接redis就必须设置) setsebool -P httpd_read_user_content 1 #开启用户文件的访问权限(如日志文件就必须设置) setsebool -P httpd_suexec_disable_trans 1 #禁用suexec过度 setsebool -P httpd_disable_trans 1 #允许daemon用户启动httpd setsebool -P httpd_can_sendmail 1 #允许httpd发送email setsebool -P named_write_master_zones 1 #允许修改dns的主zone文件 setsebool -P named_disable_trans 1 #允许daemon启动named setsebool -P nfs_export_all_ro 1 #nfs只读 setsebool -P nfs_export_all_rw 1 #nfs可读写 setsebool -P use_nfs_home_dirs 1 #允许本机访问远程nfs的根目录 setsebool -P allow_smbd_anon_write=1 #samba允许匿名用户可写 setsebool -P samba_enable_home_dirs 1 #允许根目录访问 setsebool -P use_samba_home_dirs 1 #允许本机访问远程samba根目录 setsebool -P smbd_disable_trans 1 #允许daemon启动samba setsebool -P allow_rsync_anon_write=1 #允许匿名用户可写 setsebool -P rsync_disable_trans 1 #允许daemon启动rsync
其他命令
getsebool -a #列出所有模块 getsebool -a | grep ftp #列出所有与ftp相关的模块
selinux默认不允许httpd访问“/home/用户名”目录(但是允许访问"/usr/local/用户名"这种目录),现在有两种解决方案:
方案一:(允许用户httpd访问其家目录)
setsebool -P httpd_read_user_content 1
setsebool -P httpd_enable_homedirs 1
方案二:(使用semanage命令修改安全上下文)
semanage fcontext -a -t httpd_sys_content_t '/home/用户名(/.*)?' #重新加载,刷新配置 restorecon -R -v /home/用户名 #查看安全上下文是否永久生效 semanage fcontext -l | grep /home/用户名 #查看安全上下文是否永久生效 ls -Zd /home/用户名
允许公共目录共享,如ftp,samba,web都访问共享目录
setsebool -P public_content_t 1
setsebool -P public_content_rw_t 1
允许httpd连接mysql:
setsebool -P httpd_can_network_connect_db 1
允许httpd连接redis:
setsebool -P httpd_can_network_connect=1
允许使用ftpd,如vsftpd就需要用到:
setsebool -P ftpd_full_access 1 setsebool -P ftp_home_dir 1 #可能会提示“Boolean ftp_home_dir is not defined”那就不用管了
允许httpd发送email:
setsebool -P httpd_can_sendmail 1
其他命令
#查看selinux状态 sestatus #查看getenforce状态 getenforce #临时关闭selinux,设置SELinux 成为permissive模式 setenforce 0 #临时打开selinux,设置SELinux 成为enforcing模式 setenforce 1 #永久关闭SELinux vi /etc/selinux/config 修改并设置SELINUX=disabled,再重启服务器。
使用semanage管理SELinux
#使用semanage管理SELinux,安装semanage yum -y install semanage 如果提示:“No package semanage available.”则执行如下命令: yum -y provides semanage 执行完以上命令成功后会提示:Filename : /usr/sbin/semanage 再执行: yum -y install policycoreutils-python 执行以上命令成功之后就安装好了semanage #查看所有端口规则 semanage port -l #查看某个端口的规则 semanage port -l | grep 6379 #查看ssh端口规则 semanage port -l | grep ssh #给ssh放开某个端口 semanage port -a -t ssh_port_t -p tcp 9998 #给ssh删除某个已放开的端口 semanage port -d -t ssh_port_t -p tcp 9998 #查看http端口规则 semanage port -l | grep http_port_t #给httpd放开某个端口 semanage port -a -t http_port_t -p tcp 2201 #给httpd删除某个已放开的端口 semanage port -d -t http_port_t -p tcp 2201 #查看redis端口规则 semanage port -l | grep redis_port_t #redis添加端口规则 semanage port -a -t redis_port_t -p tcp 2201 semanage port -d -t redis_port_t -p tcp 2201 #给httpd添加某个目录(如/websites)安全上下文 semanage fcontext -a -t httpd_sys_content_t "/websites(/.*)?" #重新加载配置 restorecon -R -v /websites #查看安全上下文是否永久生效 semanage fcontext -l | grep /websites #查看安全上下文是否永久生效 ls -Zd /websites
