参考自鸟哥的私房菜:[url]http://linux.vbird.org/[/url]
SELinux是Mandatory Access Control的一种。
[b]主体与客体安全性文本[/b]
[img]http://linux.vbird.org/linux_basic/0440processcontrol/selinux_1.gif[/img]
[b]修改安全性文本[/b]
[quote]
# chcon [-R] [-t type] [-u user] [-r role] 檔案
# chcon [-R] --reference=範例檔 檔案
選項與參數:
-R :連同該目錄下的次目錄也同時修改;
-t :後面接安全性本文的類型欄位!例如 httpd_sys_content_t ;
-u :後面接身份識別,例如 system_u;
-r :後面街角色,例如 system_r;
--reference=範例檔:拿某個檔案當範例來修改後續接的檔案的類型![/quote]
[b]重置安全性文本[/b]
[quote]# restorecon [-Rv] 檔案或目錄
選項與參數:
-R :連同次目錄一起修改;
-v :將過程顯示到螢幕上[/quote]
[b]SELinux日志[/b]
setroubleshoot将错误信息写入/var/log/messages
[quote]# chkconfig setroubleshoot on[/quote]
auditd将详细错误写入/var/log/audit/audit.log
[quote]# chkconfig auditd on[/quote]
[b]SELinux政策查询[/b]
[quote]# seinfo [-Atrub]
選項與參數:
-A :列出 SELinux 的狀態、規則布林值、身份識別、角色、類別等所有資訊
-t :列出 SELinux 的所有類別 (type) 種類
-r :列出 SELinux 的所有角色 (role) 種類
-u :列出 SELinux 的所有身份識別 (user) 種類
-b :列出所有規則的種類 (布林值)[/quote]
[quote]
# sesearch [-a] [-s 主體類別] [-t 目標類別] [-b 布林值]
選項與參數:
-a :列出該類別或布林值的所有相關資訊
-t :後面還要接類別,例如 -t httpd_t
-b :後面還要接布林值的規則,例如 -b httpd_enable_ftp_server[/quote]
[b]预设安全性文本的修改[/b]
[quote]# semanage {login|user|port|interface|fcontext|translation} -l
# semanage fcontext -{a|d|m} [-frst] file_spec
選項與參數:
fcontext :主要用在安全性本文方面的用途, -l 為查詢的意思;
-a :增加的意思,你可以增加一些目錄的預設安全性本文類型設定;
-m :修改的意思;
-d :刪除的意思。[/quote]
[b]自定义安全性策略[/b]
自定义安全策略使用audit2allow这个工具
这个命令根据日志,自定义的输入流来生成哪些特殊情况将被放行。
之后会生成nagiosType.te与nagiosType.pp两个文件。
插入自定义的selinux模块
移除自定义的selinux模块
SELinux是Mandatory Access Control的一种。
[b]主体与客体安全性文本[/b]
[img]http://linux.vbird.org/linux_basic/0440processcontrol/selinux_1.gif[/img]
[b]修改安全性文本[/b]
[quote]
# chcon [-R] [-t type] [-u user] [-r role] 檔案
# chcon [-R] --reference=範例檔 檔案
選項與參數:
-R :連同該目錄下的次目錄也同時修改;
-t :後面接安全性本文的類型欄位!例如 httpd_sys_content_t ;
-u :後面接身份識別,例如 system_u;
-r :後面街角色,例如 system_r;
--reference=範例檔:拿某個檔案當範例來修改後續接的檔案的類型![/quote]
[b]重置安全性文本[/b]
[quote]# restorecon [-Rv] 檔案或目錄
選項與參數:
-R :連同次目錄一起修改;
-v :將過程顯示到螢幕上[/quote]
[b]SELinux日志[/b]
setroubleshoot将错误信息写入/var/log/messages
[quote]# chkconfig setroubleshoot on[/quote]
auditd将详细错误写入/var/log/audit/audit.log
[quote]# chkconfig auditd on[/quote]
[b]SELinux政策查询[/b]
[quote]# seinfo [-Atrub]
選項與參數:
-A :列出 SELinux 的狀態、規則布林值、身份識別、角色、類別等所有資訊
-t :列出 SELinux 的所有類別 (type) 種類
-r :列出 SELinux 的所有角色 (role) 種類
-u :列出 SELinux 的所有身份識別 (user) 種類
-b :列出所有規則的種類 (布林值)[/quote]
[quote]
# sesearch [-a] [-s 主體類別] [-t 目標類別] [-b 布林值]
選項與參數:
-a :列出該類別或布林值的所有相關資訊
-t :後面還要接類別,例如 -t httpd_t
-b :後面還要接布林值的規則,例如 -b httpd_enable_ftp_server[/quote]
[b]预设安全性文本的修改[/b]
[quote]# semanage {login|user|port|interface|fcontext|translation} -l
# semanage fcontext -{a|d|m} [-frst] file_spec
選項與參數:
fcontext :主要用在安全性本文方面的用途, -l 為查詢的意思;
-a :增加的意思,你可以增加一些目錄的預設安全性本文類型設定;
-m :修改的意思;
-d :刪除的意思。[/quote]
[b]自定义安全性策略[/b]
自定义安全策略使用audit2allow这个工具
grep nagios_t /var/log/audit/audit.log | grep -v default_t | audit2allow -M nagiosType这个命令根据日志,自定义的输入流来生成哪些特殊情况将被放行。
之后会生成nagiosType.te与nagiosType.pp两个文件。
插入自定义的selinux模块
semodule -i nagiosType.pp移除自定义的selinux模块
semodule -r nagiosType
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
