自動目錄
在Redhat系列中,Centos5以後加入了selinux,他並沒有這麼可怕,不必每次看到Selinux ,就想把他 Disable
SELinux的三種模式[2]
- enforcing:強制模式,代表 SELinux 運作中;
- permissive:寬容模式:代表 SELinux 運作中,不過僅會有警告訊息並不會實際限制存取。這種模式可以運來作為 SELinux 的 debug 之用;
- disabled:關閉,SELinux 並沒有實際運作。
和SElinux 有關的指令
# sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 21 Policy from config file: targeted
參數
-v
-b 顯示 selinux 的policy boolean 值
setenforce 強制啟動或停止 SElinux,只能設 enforcing和permissive兩種狀態
# setenforce 1 # sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 24 Policy from config file: targeted # setenforce 0 # sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: enforcing Policy version: 24 Policy from config file: targeted
setsebool 設定 SElinux 的全域 boolean 值
getsebool 取得 SElinux 的全域 boolean 值
# getsebool virt_use_comm virt_use_comm --> off # setsebool virt_use_comm on # getsebool virt_use_comm virt_use_comm --> on
chcon 改變檔案之 selinux 權限屬性
# chcon -t httpd_user_content_t n.sfs.tw.css
fixfiles 修正檔案之 selinux context 內文
ls 列出檔案 selinux 權限
參數
--lcontext
Display security context. Enable -l. Lines will probably be too wide for most dis-
plays.
-Z, --context
Display security context so it fits on most displays. Displays only mode, user,
group, security context and file name.
--scontext
Display only security context and file name.
--help display this help and exit
--version
output version information and exit
和 SElinux 有關的檔案
/etc/selinux/config selinux 的設定
/etc/sestatus.conf selinux 的全域boolean 值
參考資料
[1] 安全增強式Linux(SELinux, Security-Enhanced Linux)
[2] 鳥哥對 selinux 的說明,非常詳細 http://linux.vbird.org/linux_basic/0440processcontrol.php#selinux
原文編修 2009-10-09 21:53:32
