Selinux命令集整理汇总

Selinux命令集整理汇总

 

一、相关命令集：

 

sestatus

getenforce

setenforce  0/1

id/ls/ps -Z    查看对象

chon [OPTION]   CONTEXT FILES     / chon [OPTIONS] --reference=REF_FILES FILES      

-f  强迫执行，即使有错误信息也不显示出来

-l  range 指定以range作为安全值范围

-R 递归

-r ROLE 修改角色原则

-t TYPE 只修改类型原则

-u USER 只修改用户原则

-v 显示冗长（Verbose）原则

例： chcon -u system_u -t httpd_t file

        chcon root:object_r:user_home_t file

matchpathcon  [ -a | -V ] file  找出默认原则 -a不显示路径名称；-V检查是否符合定义 

fixfiles [-R PACKAGES...] [check | restore] 修复RPM包提供的文件安全原则

restorecon [OPTIONS] files 还原: -f listfile（以文件代替Files），-o：输出到文件，-v：显示不愿的文件，-i 忽略不存在的文件

重新产生所有默认的安全原则：产生一个空的  /.autorelabel 文件，再重启。这会花费很长时间。

seinfo  [OPTIONS] [POLICY_FILE] 查看安全原则信息

sesearch [ -a| --allow | --audit | --neverallow | --type | -s NAME | -t NAME ] [POLICY_FILE]

如：sesearch -a -s httpd_t -t etc_t /etc/selinux/targeted/policy/policy.21

getsebool

setsebool [-P] sebool=value    -P表示开机后仍生效，不加只是当前生效

system-config-selinux 仅图形界面下的工具

sealert     需要安装 setroubleshoot 包

grep httpd /var/log/audit/audit.log | audit2allow -M mypol;  semodule -i mypol.pp

 

二、概念：

 

DAC（Discretionary Access Control）任意读取控制

            ——》ACL（访问控制列表），是DAC的延伸

MAC（Mandatory Access Control）强制性读取控制

        ——》RBAC（Role-Based）角色基础，以用户所属角色来判断

       ——》 MLS（Multi-Level Security）多层次安全，定义了不同的访问等级

安全原则：

targeted: 用来保护常见的网络服务；

strict：用来提供符合RBAC机制的安全性；

mls：提供符合 MLS 机制的安全性

读取向量缓存（Access Vector Cache）暂存SELinux策略变量到内存中，以加快查询速度