关于我们

客户至上、服务为根、勇于拼搏、务实创新

< 返回上层

setsebool命令详解与SELinux管理

2020-01-19 09:15:37 来源:蓝队云

etsebool命令是用来修改SElinux策略内各项规则的布尔值。setsebool命令和getsebool命令是SELinux修改和查询布尔值的一套工具组。SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面让我们详细讲解一下setsebool命令的使用方法。

语法

setsebool [-P] 布尔值=[0|1]

选项

-P:直接将设置值写入配置文件,该设置数据将来会生效的。

实例

setsebool -P allow_ftpd_anon_write=1          #允许ftpd匿名用户可写
setsebool -P ftp_home_dir 1                   #允许用户访问自己的根目录
setsebool -P ftpd_is_daemon 1                 #允许daemon运行ftpd
setsebool -P ftpd_disable_trans 1             #关闭SELINUX对ftpd的保护
setsebool -P allow_httpd_anon_write=1         #允许httpd匿名用户可写
setsebool -P allow_httpd_sys__anon_write=1    #同上
setsebool -P httpd_enable_cgi 1               #httpd被设置允许cgi被执行
setsebool -P httpd_enable_homedirs 1          #允许访问用户的根目录
setsebool -P httpd_tty_comm 1                 #允许httpd控制终端
setsebool -P httpd_unified 0                  #httpd之间相互独立
setsebool -P httpd_builtin_ing 0              #同httpd环境一样运行
setsebool -P httpd_can_network_connect_db 1   #httpd可以连接到数据库(如连接mysql就必须设置)
setsebool -P httpd_can_network_connect 1      #httpd可以连接到网络(如连接redis就必须设置)
setsebool -P httpd_read_user_content 1        #开启用户文件的访问权限(如日志文件就必须设置)
setsebool -P httpd_suexec_disable_trans 1     #禁用suexec过度
setsebool -P httpd_disable_trans 1            #允许daemon用户启动httpd
setsebool -P httpd_can_sendmail 1             #允许httpd发送email
setsebool -P named_write_master_zones 1       #允许修改dns的主zone文件
setsebool -P named_disable_trans 1            #允许daemon启动named
setsebool -P nfs_export_all_ro 1              #nfs只读
setsebool -P nfs_export_all_rw 1              #nfs可读写
setsebool -P use_nfs_home_dirs 1              #允许本机访问远程nfs的根目录
setsebool -P allow_smbd_anon_write=1          #samba允许匿名用户可写
setsebool -P samba_enable_home_dirs 1         #允许根目录访问
setsebool -P use_samba_home_dirs 1            #允许本机访问远程samba根目录
setsebool -P smbd_disable_trans 1             #允许daemon启动samba
setsebool -P allow_rsync_anon_write=1         #允许匿名用户可写
setsebool -P rsync_disable_trans 1            #允许daemon启动rsync

其他命令

getsebool -a                              #列出所有模块
getsebool -a | grep ftp                       #列出所有与ftp相关的模块

selinux默认不允许httpd访问“/home/用户名”目录(但是允许访问"/usr/local/用户名"这种目录),现在有两种解决方案:

方案一:(允许用户httpd访问其家目录)

setsebool -P httpd_read_user_content 1
setsebool -P httpd_enable_homedirs 1

方案二:(使用semanage命令修改安全上下文) 

semanage fcontext -a -t httpd_sys_content_t '/home/用户名(/.*)?'
#重新加载,刷新配置
restorecon -R -v /home/用户名
#查看安全上下文是否永久生效
semanage fcontext -l | grep /home/用户名
#查看安全上下文是否永久生效
ls -Zd /home/用户名

允许公共目录共享,如ftp,samba,web都访问共享目录

setsebool -P public_content_t 1 
setsebool -P public_content_rw_t 1

允许httpd连接mysql:

setsebool -P httpd_can_network_connect_db 1

允许httpd连接redis:

setsebool -P httpd_can_network_connect=1

允许使用ftpd,如vsftpd就需要用到:

setsebool -P ftpd_full_access 1
setsebool -P ftp_home_dir  1 #可能会提示“Boolean ftp_home_dir is not defined”那就不用管了

允许httpd发送email:

setsebool -P httpd_can_sendmail 1

其他命令

#查看selinux状态
sestatus
#查看getenforce状态
getenforce
#临时关闭selinux,设置SELinux 成为permissive模式
setenforce 0
#临时打开selinux,设置SELinux 成为enforcing模式
setenforce 1
#永久关闭SELinux
vi /etc/selinux/config
修改并设置SELINUX=disabled,再重启服务器。

使用semanage管理SELinux

#使用semanage管理SELinux,安装semanage
yum -y install semanage
如果提示:“No package semanage available.”则执行如下命令:
yum -y provides semanage
执行完以上命令成功后会提示:Filename : /usr/sbin/semanage
再执行:
yum -y install policycoreutils-python
执行以上命令成功之后就安装好了semanage

#查看所有端口规则
semanage port -l

#查看某个端口的规则
semanage port -l | grep 6379

#查看ssh端口规则
semanage port -l | grep ssh
#给ssh放开某个端口
semanage port -a -t ssh_port_t -p tcp 9998
#给ssh删除某个已放开的端口
semanage port -d -t ssh_port_t -p tcp 9998

#查看http端口规则
semanage port -l | grep http_port_t
#给httpd放开某个端口
semanage port -a -t http_port_t -p tcp 2201
#给httpd删除某个已放开的端口
semanage port -d -t http_port_t -p tcp 2201

#查看redis端口规则
semanage port -l | grep redis_port_t
#redis添加端口规则
semanage port -a -t redis_port_t -p tcp 2201
semanage port -d -t redis_port_t -p tcp 2201

#给httpd添加某个目录(如/websites)安全上下文
semanage fcontext -a -t httpd_sys_content_t "/websites(/.*)?"
#重新加载配置
restorecon -R -v /websites
#查看安全上下文是否永久生效
semanage fcontext -l | grep /websites
#查看安全上下文是否永久生效
ls -Zd /websites