注册 登录
远景论坛 - 前沿科技与智慧生态的极客社区 返回首页

joyjeo的个人空间 https://i.pcbeta.com/?1985279 [收藏] [复制] [分享] [RSS]

日志

SELINUX

已有 377 次阅读2014-11-20 11:13 |个人分类:linux| selinux

ls -Z    # 查看Object的安全上下文命令
ps -Z 或者 ps auxZ   # 查看Subject的域
ps auxZ |grep httpd  # 查看httpd工作域,httpd_t域可以访问 httpd_sys_content_t类型的对象(/var/www/html中的文件对应的类型)

setenforce 0   # 切换到Permissive模式  1表示Enforcing模式

vim /etc/selinux/config
SELINUX=disable  #用配置文件禁用SELinux,重启后生效,选项可以有enforcing 、permisive
另一种修改方法是:echo {0|1} >/selinux/enforce  

改变安全上下文:chang context
chcon -t var_log_t   /log/a.txt  # 改变类型,具体类型可以用ls -Z查看。
chcon -Rt var_log_t /log      # 递归修改
chcon -R --reference /var/www/html/index.html  /web/htdocs/

恢复默认的安全上下文
restorecon 文件
restorecon -R 目录

查看策略:
semanage fcontext -l |grep /var/www   # 查看某目录默认策略设置的类型
semanage user -l  # 列出SELinux的账户
semanage port -l  #列出SELinux控制的端口  添加端口 semanage port -a -t httpd_t -p tcp 8040  


booleans:不想改变对象类型,也不想改变subject的工作能力,不想新建并编译策略时,可以修改booleans
getsebool -a  #查看所有可调节的booleans
getsebool -a  |grep samba  #查看samba的布尔值。可以看到很多和samba相关的项,其中samaba_enable_home_dirs是off的,所以一个samba用户是无法在Enforcing模式下上传文件到自己的家目录的。修改samba用户对应系统用户的家目录的Selinux Object类型会有安全隐患(以samba进程所在域的人都可以访问),所以修改boolean值才是比较好的选择:
setseboolean samba_enable_home_dirs=on  # on可以用1代替。
另一个例子是:vsftpd也受selinux控制,开启匿名用户可写的功能,Enforcing模式下,匿名用户仍然不可写。这时候可以getsebool -a  |grep ftp  可以看到allow_ftpd_anon_write 是off的,改成on即可。


路过

雷人

握手

鲜花

鸡蛋

全部作者的其他最新日志

评论 (0 个评论)

facelist

您需要登录后才可以评论 登录 | 注册

小黑屋手机版联系我们

Copyright © 2005-2025 PCBeta. All rights reserved.

Powered by Discuz!  CDN加速及安全服务由「快御」提供

请勿发布违反中华人民共和国法律法规的言论,会员观点不代表远景论坛官方立场。

远景在线 ( 苏ICP备17027154号 )|远景论坛 |Win11论坛 |Win10论坛 |Win8论坛 |Win7论坛 |WP论坛 |Office论坛

GMT+8, 2025-4-5 02:58

返回顶部