本文将简要介绍SELinux的相关操作工具
setsebool -P 变量名=[1|0]
设置selinux策略中指定变量的bool值,可选的变量名称可以使用getsebool -a查看
可选变量含义可以参考以下页面
https://linux.die.net/man/8/ftpd_selinux
https://linux.die.net/man/8/named_selinux
https://linux.die.net/man/8/rsync_selinux
https://linux.die.net/man/8/httpd_selinux
https://linux.die.net/man/8/nfs_selinux
https://linux.die.net/man/8/samba_selinux
https://linux.die.net/man/8/kerberos_selinux
https://linux.die.net/man/8/nis_selinux
https://linux.die.net/man/8/ypbind_selinux
https://linux.die.net/man/8/named_selinux
audit2allow
会扫描被记录到日志中的最近系统拒绝的操作记录,然后生成一个可以允许这些操作执行的新策略
具体改动流程蛮复杂的,日后补充
semanage
semanage fcontext -l:展示所有目录的类型和安全上下文
也可以是同-a增加目录与上下文、-m修改以及-d删除
restorecon
恢复文件安全上下文,如果没有安全上下文则按照规则为其配置默认的安全上下文
也会根据最新的策略对有变动的安全上下文进行刷新
chcon
临时修改安全上下文,通过-u -r -t -l 指定修改的安全上下文中的用户、角色、类型和范围,一般类型用的最多
chcon -t context file
matchpathcon 目录或文件
显示目标的默认安全上下文
chcat
用来更改文件selinux安全类别,暂不清楚如何使用
semodule
用来管理selinux的策略模块
sestatus
用来获取selinux的状态
-v 追加显示部分目录的安全上下文
-b 追加显示当前策略中的bool值
setfiles
初始化文件的安全上下文,当selinux安装时会自动运行,也可以单独运行它来更正错误或增加对新策略的支持
audit2why
讲selinux的审计日志转换为关于拒绝访问原因的描述
fixfiles
修复错误的安全上下文,也可以随时运行用以对新策略进行支持。
fixfiles进行的修复将在系统重启后生效
getenorce
获取selinux的状态,强制、允许还是禁用
setenforce
修改selinux的运行模式
runcon
在指定的上下文中运行命令
newrole
用新的selinux用户运行shell
