[学习记录]SELinux操作工具

本文将简要介绍SELinux的相关操作工具

 

setsebool -P 变量名=[1|0]

设置selinux策略中指定变量的bool值，可选的变量名称可以使用getsebool -a查看

 可选变量含义可以参考以下页面

https://linux.die.net/man/8/ftpd_selinux

https://linux.die.net/man/8/named_selinux

https://linux.die.net/man/8/rsync_selinux

https://linux.die.net/man/8/httpd_selinux

https://linux.die.net/man/8/nfs_selinux

https://linux.die.net/man/8/samba_selinux

https://linux.die.net/man/8/kerberos_selinux

https://linux.die.net/man/8/nis_selinux

https://linux.die.net/man/8/ypbind_selinux

https://linux.die.net/man/8/named_selinux

 

audit2allow

会扫描被记录到日志中的最近系统拒绝的操作记录，然后生成一个可以允许这些操作执行的新策略

常见的例子为 cat /var/log/audit/audit.log | grep type=AVC | grep myapp | audit2allow -m myapp > myapp.te

即将日志中类型为avc的，也就是selinux安全事件中与myapp相关的日志打印出来，然后把它们作为输入输进audit2allow中构建名为myapp的策略文件，并输出到文件myapp.te中，然后就可以编译成模块，进行装载。

 

semanage

semanage fcontext -l:展示所有目录的类型和安全上下文

也可以是同-a增加目录与上下文、-m修改以及-d删除

 

restorecon

恢复文件安全上下文，如果没有安全上下文则按照规则为其配置默认的安全上下文

也会根据最新的策略对有变动的安全上下文进行刷新

 

chcon

临时修改安全上下文，通过-u -r -t -l 指定修改的安全上下文中的用户、角色、类型和范围，一般类型用的最多

chcon -t  context file

 

matchpathcon    目录或文件

显示目标的默认安全上下文

 

chcat

用来更改文件selinux安全类别，暂不清楚如何使用

 

semodule

用来管理selinux的策略模块

semodule -i myapp.pp  装载模块

semodule -l   列出所有模块

semodule -r myapp  卸载myapp模块

 

sestatus

用来获取selinux的状态

-v 追加显示部分目录的安全上下文

-b 追加显示当前策略中的bool值

 

setfiles

初始化文件的安全上下文，当selinux安装时会自动运行，也可以单独运行它来更正错误或增加对新策略的支持

 

audit2why

讲selinux的审计日志转换为关于拒绝访问原因的描述

 

fixfiles

修复错误的安全上下文，也可以随时运行用以对新策略进行支持。

fixfiles进行的修复将在系统重启后生效

 

getenorce

获取selinux的状态，强制、允许还是禁用

 

setenforce

修改selinux的运行模式

 

runcon

在指定的上下文中运行命令

一般为 runcon  [进程上下文]  [命令]

多用于测试策略是否生效