search

SELinux

hashtag
查看 SELinux 状态

getenforce

hashtag

hashtag
修改 SELinux

hashtag
临时关闭

setenforce 0

hashtag
临时启用

setenforce 1

hashtag
永久生效(重启后生效,要立即生效需要重启系统或临时启用或临时关闭)

vim /etc/selinux/config
# enforcing
# permissive
# disabled
triangle-exclamation

若系统启动时 SELinux 的状态就是 disabled ,在此状态下修改 SELinux 状态后需要重启系统,让系统重新打标签

hashtag
修改文件 SELinux context 标签

hashtag
chcon 命令修改文件 context 标签

circle-info

此方式修改的上下文标签可以被 restorecon 命令还原,命令如下

circle-info

可以将策略写入 SELinux 规则,这样还原的话就可以将上下文还原成想要的策略,如下

hashtag
semanage fcontext 修改 SELinux 数据库的规则,并还原生效

hashtag
系统自带 SELinux boolean value

hashtag
查看 SELinux 布尔值

hashtag
修改 SELinux 布尔值

circle-info

getsebool -a | wc -l

系统自带的 SELinux 布尔值有几百个,建议遇到哪个服务研究哪个

hashtag
SELinux 常用故障处理方法

hashtag
sealert 命令

根据上方命令执行后生成的报告中给出的建议执行相关命令,此案例为 httpd 服务,报告给出的建议如下

circle-check

此方法可以解决绝大多数问题,挨个执行报告中给出的建议命令即可

hashtag
SELinux 端口安全

circle-info

SELinux 开启后默认会限制服务的端口,若要为相关服务使用新端口需要配置相关策略

此处用修改 ssh 服务默认端口为例做演示

hashtag
修改 ssh 默认的端口

重启服务

hashtag
增加 ssh 服务的 SELinux 策略端口

hashtag
拓展:常用 SELinux 命令

hashtag
查询

hashtag
修改

hashtag
万能解决方案

PreviousSentinelNextMac Navicat15 试用

Last updated