SElinux 配置

tuhaitao

selinux 是个安全性极高的软件，在安装了发行版linux的操作系统中，都有一些各个厂家的配置，
 
因为在发行版linux出厂时，安装了各种编程工具、网络服务，有些安全性软件本身有很强大的功能，
 
需要对其进行限制， selinux的做法是 ，使用者能被分配预先定义好的角色，以便他们不能存取文件
 
或者访问他们不用的程序.
 
这里我给出一些常用的配置以及命令.
 
selinux 在redhat类型的linux中配置目录为:/etc/selinux/
 
1.配置selinux
 
修改配置文件: /etc/selinux/config
 
默认为:
SELINUX=enforcing
 
可选项有：
enforcing(强制：违反了策略，你就无法继续操作下去)
Permissive(有效，但不强制：违反了策略的话它让你继续操作，但记录日志)
Disabled(禁用)
 
2. 查看现有配置
 
[root@localhost selinux]# getsebool -aabrt_anon_write --> offallow_console_login --> offallow_corosync_rw_tmpfs --> offallow_cvs_read_shadow --> offallow_daemons_dump_core --> onallow_daemons_use_tty --> offallow_domain_fd_use --> onallow_execheap --> off... 3.修改配置
 
比如在fedora的发行版里，默认selinux阻止了apache的proxy，使用修改命令修改：
 
[root@localhost selinux]# setsebool httpd_can_network_connect  true  
这里要注意，setsebool命令有个-P 选项， 上边那条命令只能改变当前运行的selinux的配置，如果操作系统重启后，将继续加载默认配置， 如果需要永久改变，需要加入-P选项：
 
[root@localhost selinux]# setsebool -P httpd_can_network_connect  true 
4.查看当前运行selinux的状态
 
[root@localhost selinux]# sestatus -bvSELinux status:                 enabledSELinuxfs mount:                /selinuxCurrent mode:                   enforcingMode from config file:          enforcingPolicy version:                 24Policy from config file:        targetedPolicy booleans:abrt_anon_write                             offallow_console_login                         offallow_corosync_rw_tmpfs                     offallow_cvs_read_shadow                       offallow_daemons_dump_core                     onallow_daemons_use_tty                       off... 
5.查看selinux所能控制软件的内核模块
 
[root@localhost selinux]# semodule -labrt    1.1.0accountsd       1.0.0ada     1.4.0afs     1.5.3aiccu   1.0.0 
这里我们看下apache的
 
[root@localhost selinux]# semodule -l|grep apacheapache  2.1.2 6.查看警告日志
 
这里selinux的日志是二进制压缩的，所以速度比较慢
 
[root@linuxas selinux]# touch selinux-alert.log[root@linuxas selinux]# sealert -a selinux-alert.log