针对控制的『主体』变成了『程序』而不是用户喔! 此外,这个主体程序也不能任意使用系统档案资源,因为每个档案资源也有针对该主体程序设定可取用的权限!
targeted:针对网络服务限制较多,针对本机限制较少,是预设的策略;
主体(程序) -> 策略检查 -> 安全上下文比对 -> rwx检查 -> 目标文件
1、查看目前的 SELinux 状态
sestatus
getenforce
启动selinux,除了配置文件/etc/selinux/config,还需要检查/boot/grub/menu.lst,不能指定 selinux=0
2、查看安全上下文,ll -Z
Identify:role:type
在预设的 targeted 策略中, Identify 与 Role 字段基本上是不重要的!重要的在于这个类型 (type) 字段!
3、修改安全上下文的3种方法:
chcon -t net_conf_t /tmp/hosts
chcon --reference=/var/spool/mail /tmp/hosts
restorecon -Rv /root
4、SELinux 所需的服务
setroubleshoot --> 错误信息写入 /var/log/messages
auditd --> 详细资料写入 /var/log/audit/audit.log
5、策略查询(yum install setools-console.x86_64)
seinfo
seinfo -b | grep httpd
sesearch -t httpd_sys_content_t --all
sesearch -b httpd_enable_homedirs --all
6、规则布尔值的查询与修改
getsebool -a
setsebool -P httpd_enable_homedirs=1
7、目录的默认安全上下文的查询与修改
semanage fcontext -l
semanage fcontext -a -t public_content_t "/srv/vbird(/.*)?"
8、setroubleshoot主动发送邮件或控制台
/etc/setroubleshoot/setroubleshoot.conf
targeted:针对网络服务限制较多,针对本机限制较少,是预设的策略;
主体(程序) -> 策略检查 -> 安全上下文比对 -> rwx检查 -> 目标文件
1、查看目前的 SELinux 状态
sestatus
getenforce
启动selinux,除了配置文件/etc/selinux/config,还需要检查/boot/grub/menu.lst,不能指定 selinux=0
2、查看安全上下文,ll -Z
Identify:role:type
在预设的 targeted 策略中, Identify 与 Role 字段基本上是不重要的!重要的在于这个类型 (type) 字段!
3、修改安全上下文的3种方法:
chcon -t net_conf_t /tmp/hosts
chcon --reference=/var/spool/mail /tmp/hosts
restorecon -Rv /root
4、SELinux 所需的服务
setroubleshoot --> 错误信息写入 /var/log/messages
auditd --> 详细资料写入 /var/log/audit/audit.log
5、策略查询(yum install setools-console.x86_64)
seinfo
seinfo -b | grep httpd
sesearch -t httpd_sys_content_t --all
sesearch -b httpd_enable_homedirs --all
6、规则布尔值的查询与修改
getsebool -a
setsebool -P httpd_enable_homedirs=1
7、目录的默认安全上下文的查询与修改
semanage fcontext -l
semanage fcontext -a -t public_content_t "/srv/vbird(/.*)?"
8、setroubleshoot主动发送邮件或控制台
/etc/setroubleshoot/setroubleshoot.conf