setsebool命令详解与SELinux管理
setsebool命令是⽤来修改SElinux策略内各项规则的布尔值。setsebool命令和getsebool命令是SELinux修改和查询布尔值的⼀套⼯具组。SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下⾯让我们详细讲解⼀下setsebool命令的使⽤⽅法。
语法
setsebool [-P] 布尔值=[0|1]
选项
-P:直接将设置值写⼊配置⽂件,该设置数据将来会⽣效的。
实例
setsebool -P allow_ftpd_anon_write=1 #允许ftpd匿名⽤户可写
setsebool -P ftp_home_dir 1 #允许⽤户访问⾃⼰的根⽬录
setsebool -P ftpd_is_daemon 1 #允许daemon运⾏ftpd
setsebool -P ftpd_disable_trans 1 #关闭SELINUX对ftpd的保护
setsebool -P allow_httpd_anon_write=1 #允许httpd匿名⽤户可写
setsebool -P allow_httpd_sys__anon_write=1 #同上
setsebool -P httpd_enable_cgi 1 #httpd被设置允许cgi被执⾏
setsebool -P httpd_enable_homedirs 1 #允许访问⽤户的根⽬录
setsebool -P httpd_tty_comm 1 #允许httpd控制终端
setsebool -P httpd_unified 0 #httpd之间相互独⽴
setsebool -P httpd_builtin_ing 0 #同httpd环境⼀样运⾏
setsebool -P httpd_can_network_connect_db 1 #httpd可以连接到数据库(如连接mysql就必须设置)
setsebool -P httpd_can_network_connect 1 #httpd可以连接到⽹络(如连接redis就必须设置)
setsebool -P httpd_read_user_content 1 #开启⽤户⽂件的访问权限(如⽇志⽂件就必须设置)
setsebool -P httpd_suexec_disable_trans 1 #禁⽤suexec过度
setsebool -P httpd_disable_trans 1 #允许daemon⽤户启动httpd
setsebool -P httpd_can_sendmail 1 #允许httpd发送email
setsebool -P named_write_master_zones 1 #允许修改dns的主zone⽂件
setsebool -P named_disable_trans 1 #允许daemon启动named
setsebool -P nfs_export_all_ro 1 #nfs只读
setsebool -P nfs_export_all_rw 1 #nfs可读写
setsebool -P use_nfs_home_dirs 1 #允许本机访问远程nfs的根⽬录
setsebool -P allow_smbd_anon_write=1 #samba允许匿名⽤户可写
setsebool -P samba_enable_home_dirs 1 #允许根⽬录访问
setsebool -P use_samba_home_dirs 1 #允许本机访问远程samba根⽬录
setsebool -P smbd_disable_trans 1 #允许daemon启动samba
setsebool -P allow_rsync_anon_write=1 #允许匿名⽤户可写
setsebool -P rsync_disable_trans 1 #允许daemon启动rsync
其他命令
getsebool -a #列出所有模块
getsebool -a | grep ftp #列出所有与ftp相关的模块
selinux默认不允许httpd访问“/home/⽤户名”⽬录(但是允许访问"/usr/local/⽤户名"这种⽬录),现在有两种解决⽅案:
⽅案⼀:(允许⽤户httpd访问其家⽬录)
setsebool -P httpd_read_user_content 1
setsebool -P httpd_enable_homedirs 1
⽅案⼆:(使⽤semanage命令修改安全上下⽂)
semanage fcontext -a -t httpd_sys_content_t '/home/⽤户名(/.*)?'
#重新加载,刷新配置
restorecon -R -v /home/⽤户名
#查看安全上下⽂是否永久⽣效
semanage fcontext -l | grep /home/⽤户名
#查看安全上下⽂是否永久⽣效
ls -Zd /home/⽤户名
允许公共⽬录共享,如ftp,samba,web都访问共享⽬录
setsebool -P public_content_t 1
setsebool -P public_content_rw_t 1
允许httpd连接mysql:
setsebool -P httpd_can_network_connect_db 1
允许httpd连接redis:
setsebool -P httpd_can_network_connect=1
允许使⽤ftpd,如vsftpd就需要⽤到:
setsebool -P ftpd_full_access 1
setsebool -P ftp_home_dir 1 #可能会提⽰“Boolean ftp_home_dir is not defined”那就不⽤管了
允许httpd发送email:
setsebool -P httpd_can_sendmail 1
其他命令
#查看selinux状态
sestatus
#查看getenforce状态
getenforce
#临时关闭selinux,设置SELinux 成为permissive模式
setenforce 0
#临时打开selinux,设置SELinux 成为enforcing模式
setenforce 1
#永久关闭SELinux
vi /etc/selinux/config
修改并设置SELINUX=disabled,再重启服务器。
使⽤semanage管理SELinux
#使⽤semanage管理SELinux,安装semanage
yum -y install semanage
如果提⽰:“No package semanage available.”则执⾏如下命令:
yum -y provides semanage
执⾏完以上命令成功后会提⽰:Filename : /usr/sbin/semanage
再执⾏:
yum -y install policycoreutils-python
执⾏以上命令成功之后就安装好了semanage
#查看所有端⼝规则
semanage port -l
#查看某个端⼝的规则
semanage port -l | grep 6379
#查看ssh端⼝规则
semanage port -l | grep ssh
linux安装redis服务#给ssh放开某个端⼝
semanage port -a -t ssh_port_t -p tcp 9998
#给ssh删除某个已放开的端⼝
semanage port -d -t ssh_port_t -p tcp 9998
#查看http端⼝规则
semanage port -l | grep http_port_t
#给httpd放开某个端⼝
semanage port -a -t http_port_t -p tcp 2201
#给httpd删除某个已放开的端⼝
semanage port -d -t http_port_t -p tcp 2201
#查看redis端⼝规则
semanage port -l | grep redis_port_t
#redis添加端⼝规则
semanage port -a -t redis_port_t -p tcp 2201
semanage port -d -t redis_port_t -p tcp 2201
#给httpd添加某个⽬录(如/websites)安全上下⽂semanage fcontext -a -t httpd_sys_content_t "/websites(/.*)?" #重新加载配置
restorecon -R -v /websites
#查看安全上下⽂是否永久⽣效
semanage fcontext -l | grep /websites
#查看安全上下⽂是否永久⽣效
ls -Zd /websites
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论