使用SELinux布尔值

最新推荐文章于 2024-07-06 15:59:48 发布
最新推荐文章于 2024-07-06 15:59:48 发布
阅读量2.9k 收藏 3
点赞数 1
分类专栏: SELinux 安全 文章标签: SELinux boolean

已经探讨过文件访问时AVC拒绝。当经常使用SELinux会发现,有些活动按理应该被允许,却被拒绝了。当有些原因是依据某些因素(选择),将推荐SELinux策略作者将策略设置为可选的。SELinux中可选意味着访问权限通过SELinux布尔值触发。

SELinux布尔值是一个字符串(可赋予具体含义)来改变SELinux发挥作用。使用getsebool工具可以显示布尔值列表和当前值。

root #getsebool -a
abrt_anon_write--> off
abrt_handle_event--> off
allow_console_login--> on
allow_cvs_read_shadow--> off
...
以上输出被过滤了大部分,因为系统中把整个SELinux策略加载以后,不同的布尔值轻松达到200。系统管理员使用布尔值对策略行为进行开关调整。

获得布尔值信息

并不是所有布尔值都命名都能让人轻易读懂。使用semanage boolean –l可以知道布尔值的相关描述。

root #semanage boolean -l | grepabrt_anon_write
abrt_anon_write  (off ,  off)  Allow ABRT to modify public files
                                     used for public file transferservices.
布尔值的状态也在输出里显示了出来,当然也可以使用 getsebool工具或者读取SELinux文件系统中的伪文件(/sys/fs/selinux/booleans)来获取。 

布尔值修改了什么

当切换布尔值的时候,它改变了系统上的活动策略规则。之前使用sesearch工具搜索和显示存在的策略规则。它同时也可以显示SELinux布尔值的效果。

传递布尔值名字(--bool或-b)和—show_cond(或-C)选项,sesearch工具可以显示什么规则被影响了。例如,为了得到abrt_anon_write布尔值改变所触发的allow语句:

root #sesearch -b abrt_anon_write -AC
Found 3semantic av rules:
DT allow abrt_t public_content_rw_t : file { ioctl read write ...} ; [ abrt_anon_write ]
DT allow abrt_t public_content_rw_t : dir { ioctl read write ...} ; [ abrt_anon_write ]
DT allow abrt_t public_content_rw_t : lnk_file { ioctl read write ...} ; [ abrt_anon_write ]
命令的输出显示,现在,布尔值是 disabled D 规则最前面的字母),但是如果布尔值为 true T 是开头第二个字母)规则本身将会变成活动状态。如果布尔值为 enabled ,会显示 ET 。如果布尔值为 false ,语句本身将变为活动状态,则第二个字母将为 F

因为布尔值,建议最好加上-C参数来使用sesearch命令,这样如果某些问题是布尔值触发的,很容易被发觉和定位。很多情况下,切换布尔值对于系统继续工作是有效的。

比如,当你发现firefox浏览器不能读取用户文件,发现拒绝日志显示mozilla_t被拒绝读取user_home_t文件,使用sesearch命令帮助我们知道存在叫做mozilla_read_content的布尔值允许浏览器读取用户文件。

user $sesearch -s mozilla_t -t user_home_t-AC
Found 4semantic av rules:
   allow application_domain_typeuser_home_t : file { getattr append } ;
DT allowmozilla_t user_home_t : file { ioctl read getattr lock open } ; [mozilla_read_content ]
DT allowmozilla_t user_home_t : dir { ioctl read getattr lock search open } ;[ mozilla_read_content ]
DT allowmozilla_t user_home_t : lnk_file { read getattr } ; [mozilla_read_content ]

改变布尔值状态

改变SELinux布尔值可以通过setsebool(增加需要设置的布尔值,on或者off)或者使用togglesebool(翻转当前布尔值)实现。

root #setsebool abrt_anon_write on
root #togglesebool abrt_anon_write

当你完成这些命令,改变的值将会立刻生效,但是只在当前加载策略的活动期间。也就是说,如果系统重启,之前修改的将失效。或者当你直接地重新加载SELinux策略,之前的设置也会失效。换句话说,就是切换booleans这个方法快捷,它是帮助调试问题用的。

一些布尔值只是在调试时候用的。比如,allow_ptrace布尔值,当设置它时,允许管理的域ptrace进程(比如使用strace命令),管理员做的有些事情就是来调试程序中的bug。

布尔值修改持久生效

使用-P选项可以使,SELinux布尔值的修改持久生效。

root #setsebool -P abrt_anon_write on
这个命令要一会儿时间才能完成,因为SELinux策略本身需要重建、保存和布尔值也会被注册。一旦完成,布尔值将会一直为活动状态。

 

需要记住

1.        SELinux 支持布尔值动态更新运行时策略

2.        这些布尔值可被设置为重启后长久生效

3.        可以使用sesearch来显示布尔值的相关策略语句信息

 

wjyph
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux运维笔记-文档总结-永久更改文件SELINUX安全上下文和管理SELINUX布尔值
Bigstar的博客
05-02 2727
以下所有操作都是在Red-hat 7.0上1.selinux 安全上下文访问规则• WEB 服务器的 HTTPD 进程设置了 SELINUX 上下文 system_u:system_r:httpd_t 标签。该上下文的重要部分 是第三个用冒号分隔的字段 SELINUX 类型 : httpd_t • 系统上的文件和资源也设置了 SELINUX 上下文标签 , 并 且重要的部分是 SELINUX
基于linux的selinux的两种状态,selinux状态的改变,selinux上下文,selinux布尔值
xbw_linux123的博客
05-15 3944
####selinux为内核型加强型火墙 ####1、针对文件,会对系统中每个文件添加安全上下文(context) 2、针对进程,会对系统中的每个进程添加安全上下文(context) 3、会在系统服务上设置sebool开关 4、当进程的安全上下文与文件安全上下文不匹配时,进程无法访问此文件 5、sebool会限制服务不安全功能,如果无需此功能,必须调整sebool的####如何管理selinux...
Linux——SELinux布尔值 解决SELinux问题
weixin_61895606的博客
03-24 426
SELinux布尔值 解决SELinux问题
RedHat运维-LinuxSELinux基础3-用布尔值调整SELinux政策
最新发布
a15735748145a的博客
07-06 326
16. 永久地将httpd_enable_homedirs这个布尔值SELinux政策的状态调整为on的命令是_________________________;17. 永久地将httpd_enable_homedirs这个布尔值SELinux政策的状态调整为on的命令是_________________________;18. 永久地将httpd_enable_homedirs这个布尔值SELinux政策的状态调整为on的命令是_________________________;
SELinux安全策略:布尔值策略
sda1_hacker的博客
05-14 471
有这么一个需求: 在selinux不关闭的情况下,为ip为192.168.80.128的主机搭建一个samba服务器。samba用户为space,密码为123456,为客户机提供一个名字为share的文件夹,这个文件夹在/之下名字为public。 samba可以用于linux和windows之间的文件共享,是由windows反向编译而产生的,因此samba有许多漏洞,所以selinux和samba...
selinux 常用指令
袁瑞麟的专栏
01-06 1052
大多数 SELinux的设置都是布尔值-换句话说就是,通过设定 0 或 1 来使其关闭或激活。默认这些存储在 /selinux/booleans 目录下。举一个简单的例子,user_ping,这个布尔值通常设置为 1,以允许用户使用ping命令。想要了解 SELinux 的详细信息,请浏览 www.nsa.gov/selinux/papers/policy/node1.html。在工作中如果你只
SELinux-Booleans(布尔值)参数详解与案例演示
HJKHUKB的博客
12-09 598
selinux,getsebool,setsebool,semanage使用,举例,httpd服务的策略中的【httpd_enable_homedirs】,演示selinux布尔值使用
SELinux布尔值httpd_enable_cgi
06-13
SELinux布尔值httpd_enable_cgi用于控制Apache HTTP服务器是否允许执行CGI脚本。如果该布尔值设置为“on”,则允许Apache HTTP服务器执行CGI脚本。如果设置为“off”,则禁止执行CGI脚本。 可以使用以下命令来设置...
linux 下的selinux简介(安全上下文,selinux布尔值
weixin_44818720的博客
04-22 843
计划第三方
SamBa、NFS、SElinux布尔值
qq_41916828的博客
07-06 827
虚拟机server0一、配置永久的主机名:  server0.example.com[root@server0 ~]# vim /etc/hostname server0.example.com二、配置静态ip地址  172.25.0.11/24    网关:172.25.0.254# nmcli connection modify 'System eth0' ipv4.method manual...
shell有bool运算么_Shell脚本中的布尔值
weixin_42353805的博客
12-24 4945
在shell脚本中没有布尔值这样的东西(也就是说,你可以存储在变量中的东西,并视为布尔值).命令是true和false; true退出为0,false退出非零. bash中的if语句接受命令;如果该命令返回0,则执行then子句,否则执行else子句.doFirst= true这条线完全不符合您的期望.在shell脚本中,等号后面不能有任何空格.空间意味着你完成了任务,现在正在编写一个命令.这...
selinux安全上下文的管理及布尔值的设置
myhyyyyyy的博客
05-10 1280
selinux安全上下文的管理 1. ls -Z filename #查看文件的安全上下文 chcon -t 2. public_content_t filename #临时更改文件的安全上下文的类型 semanage fcontext -a -t public_content_t '/westos(/.)?’ #永久更改文件的安...
SELinux策略(安全上下文,布尔值
weixin_43800781的博客
04-19 1581
SELinuxSecurity-Enhanced Linux 由美国国家安全局(NSA)主导开发的强化linux安全的扩展模块。集成到linux核(版本2.6及以上),对操作系统提供可定制的策略,管理工具。SELinux 默认安装在 Fedora 和 Red Hat Enterprise Linux 上,也可以作为其他发行版上容易安装的包得到。 SELINUXTYPE=targeted 仅保...
Linux中的SElinux
weixin_42996595的博客
08-12 420
Linux中的SElinuxSElinuxSElinux
Selinux详细讲解及相关的配置
热门推荐
BLXH-AS
02-08 1万+
selinux 的全称是Security Enhance Linux,就是安全加强的Linux。在Selinux之前root账号能够任意的访问所有文档和服务 ;如果某个文件设为777,那么任何用户都可以访问甚至删除。 这种方式称为DAC(主动访问机制),很不安全。DAC自主访问控制: 用户根据自己的文件权限来决定对文件的操作,也就是依据文件的own,group,other/r,w,x 权限进行限制...
SELinux
chantu8409的博客
07-11 167
一、SELinux简介1、selinuxSecurity-Enhanced Linux)是美国国家安全局(NSA)和SCC开发的Linux的一个强制访问控制的安全模块。selinux是一种基于 强制访问控制(MAC)安全系统。2、Linux访问方式: 1)DAC自主访问控制:完全依赖于Linux系统权限的设置(rwx); 2...
基于Linux之selinux中安全上下文、布尔值、监控冲突的管理及服务端口的设定
yifan850399167的博客
05-16 1800
一、SELINUX   1.基本 SELINUX 安全性概念 SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制, 在某种程度上 , 它可以被看作是与标准权限系统并行的权限系统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些访问权 SELINUX 的另一个不同之处在于 , 若要访问文件 ,你...
selinux控制命令semanage
chouzhi7161的博客
07-12 868
命令semanage 软件: policycoreutils-python 用途: SELinux策略管理工具 语法: ]# semanage 位置参数 选项 位置参数: fcontext 管理文件安全上下文的映射 boolean ...
Linux基础:通过semanage管理SELinux
知行合一 止于至善
08-22 2388
semanage诚如其名,对SELinux中的安全上下文能够起到操作的作用。使用非常广泛,比如Rancher的轻量级的Kubernetes:K3S对于在SELinux下设定支持就是使用semanage,所以安装时需要首先安装semanage所用到的包。这篇文章介绍一下使用semanage查看SELinux的方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值