51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

如何使用semanage和避免禁用SELinux?

译文
作者:布加迪编译
开发 开发工具
本文介绍的三个semanage命令有助于大大简化SELinux的处理。

[[390322]]

【51CTO.com快译】SELinux颇具挑战性;当这个安全层阻止您的应用程序或服务时,您的第一个反应往往是将其设成“禁用”或“允许”。在安全至关重要的当下,您无法进行这种更改,否则您的整个系统或网络安全堪忧。您不想那样。

为何不使用可助您一臂之力的工具?这款工具就是semanage,它是SELinux策略管理工具。借助semanage,您可以调整文件上下文、端口上下文和布尔值,这将有助于您确保系统可使用,又不必禁用安全系统。

本文将介绍以下命令:

  • semanage boolean
  • semanage fcontext
  • semanage port

知道这些命令后,您应该能够在Linux系统上更好地使用SELinux。

您需要什么?

运行中的Linux实例(使用SELinux)

拥有sudo特权的用户

如何使用semanage boolean?

使用semanage boolean,您可以启用和禁用允许规则集,因而可以为不同的用例允许不同的规则集。假设您有一台Web服务器,必须允许读取用户内容,比如来自主目录的数据。SELinux默认情况下不允许这么做。使用semanage boolean命令,您可以启用该功能。

您可以使用semanage boolean命令,通过以下命令列出所有可用的HTTP相关策略:

  1. sudo semanage boolean -l | grep httpd 

您将看到几项条目,比如:

  1. httpd_read_user_content (off , off) Allow httpd to read user content 

每份列表含有布尔值的名称、布尔值的当前和持久状态以及布尔值描述。如上所示,httpd_read_user_content布尔值设为off。我们如何启用它?很简单:

  1. sudo semanage boolean -m --on httpd_read_user_content 

使用-m选项,我们指示SELinux使用后面的选项(--on)来修改记录(本例中是httpd_read_user_context)。

就是这样。您已完成了设置,SELinux将允许Web服务器读取用户内容。

如果想要列出所有布尔值,看看您还可以做些什么,执行以下命令:

  1. sudo semanage boolean -l 

如何使用semanage fcontext?

semanage fcontext命令用于管理文件上下文定义,这包含额外信息(比如SELinux用户、角色、类型和级别),以做出访问控制决策。文件上下文是管理员在SELinux上面临的最大问题之一。您可能已经创建了一个新目录来容纳SSH主机密钥,但是如果没有正确的文件上下文,SELinux不会允许通过SSH访问该目录。

您可以执行什么操作?

可以使用semanage fcontext更改新目录的文件上下文。

与boolean一样,fcontext也有可以使用的策略。想查看可用策略的完整列表,请执行以下命令:

  1. sudo semanage fcontext -l 

如果想列出所有与SSH守护程序有关的策略,请执行以下命令:

  1. sudo semanage fcontext -l | grep sshd 

在该列表中,您将看到以下条目:

  1. /etc/ssh/primes regular file system_u:object_r:sshd_key_t:s0 
  2.  
  3. /etc/ssh/ssh_host.*_key regular file system_u:object_r:sshd_key_t:s0 
  4.  
  5. /etc/ssh/ssh_host.*_key\.pub regular file system_u:object_r:sshd_key_t:s0 

假设您要将SSH主机密钥放在/data/keys中。创建目录,将所有键移动到新主目录中,并更改sshd_config文件以匹配新映射。尝试使用SSH时,它会失败。为什么?因为/data/keys没有正确的fcontext。可以使用以下两个命令解决该问题:

  1. sudo semanage fcontext -a -t sshd_key_t '/data/keys/*.*' 
  2.  
  3. sudo restorecon -r /data/keys 

我们使用semanage fcontxt创建新策略之后,必须使用restorecon命令对新文件设置安全上下文。正则表达式*.*获取目录中的所有文件。

如何使用semanage port?

您可能猜到了,semanage port让您可以在自定义端口上运行服务。如果您尝试在自定义端口上运行服务,该服务会失败。假设您想在非标准端口上运行SSH守护程序。如果您仅为此配置sshd_config,会发现SELinux将阻止您获得访问权限,因为SELinux不知道您已进行了此更改。

如果想把SSH端口更改为2112:

  1. semanage port -a -t ssh_port_t -p tcp 2112 

然后就要使用以下命令将端口添加到防火墙:

  1. sudo firewall-cmd --add-port=2112/tcp --permanent 
  2.  
  3. sudo firewall-cmd --reload 

至此,您终于可以使用非标准端口,通过SSH访问支持SELinux的服务器。

想列出所有可用的端口策略,请执行以下命令:

  1. sudo semanage port –l 

结论

SELinux是一种功能很强大的工具,擅长保护Linux服务器免受不必要的更改。这种功能带来了一定程度的复杂性。熟悉上述三个命令,可使管理工作变得更轻松,而不是禁用SELinux或将其设置为“许可”模式。

原文标题:How to use semanage and avoid disabling SELinux,作者:Jack Wallen

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:华轩 来源: 51CTO
semanageSELinux工具
相关推荐
如何临时或永久地禁用SELinux
在本教程中,我们将介绍检查SELinux状态的步骤,并在CentOS或RHEL或Fedora中禁用SELinux。

2020-07-04 11:08:34

SELinuxLinux操作系统
Linux下如何临时或永久禁用SELinux
在本操作指南中,我们将介绍您可以遵循的步骤,以检查SELinux的状态,并在CentOSRHEL和Fedora中禁用SELinux,以防它启用。

2019-07-26 10:35:52

Linux禁用SELinux
SELinux入门:了解配置SELinux
几乎可以肯定每个人都听说过SELinux(更准确的说,尝试关闭过),甚至某些过往的经验让您对SELinux产生了偏见。不过随着日益增长的0day安全漏洞,或许现在是时候去了解下这个在Linux内核中已经有8年历史的强制性访问控制系统(MAC)了。

2011-05-31 14:22:23

如何使用chkconfigsystemctl命令启用或禁用Linux服务
对于Linux管理员来说这是一个重要(美妙)的话题,所以每个人都必须知道,并练习怎样才能更高效的使用它们。

2018-11-19 09:50:51

Linux命令操作系统
Linux中如何启用禁用网卡?
当你添加一个网卡或者从一个物理网卡创建出一个虚拟网卡的时候,你可能需要使用这些命令将新网卡启用起来。另外,如果你对网卡做了某些修改或者网卡本身没有启用,那么你也需要使用以下的某个命令将网卡启用起来。

2019-05-13 10:23:28

Linux网卡命令
如何避免内存溢出?—— Redis内存使用管理知识总结
Redis是当今很火爆的内存数据库,我们的所有数据都存在了内存之中,因此我们的每次写入、读取都是从内存中进行操作,所以在带来速度的同时,也从内存的使用上给我们带来了挑战。

2019-09-24 08:56:00

内存Redis使用
如何使用SSD避免VDI启动风暴
桌面虚拟化,或虚拟桌面基础架构(VDI),可以为IT部门带来诸多好处,包括更简单的系统管理,集中的安全性和数据保护。不过支撑VDI的存储环境需要仔细的规划,以避免VDI启动风暴的问题。

2011-11-25 10:20:14

虚拟化桌面虚拟化VDI
如何解决SELinux问题?
说起SELinux,多数Linux发行版缺省都激活了它,可见它对系统安全的重要性,可惜由于它本身有一定的复杂性,如果不熟悉的话往往会产生一些看似莫名其妙的问题,导致人们常常放弃使用它,为了不因噎废食,学学如何解决SELinux问题是很有必要的。

2012-09-05 11:09:15

SELinux操作系统
如何避免使用Windows Server 2012的GUI
恐怕没有什么比Windows8和WindowsServer2012中那“划时代的用户界面”让系统管理员更加烦恼的了。几乎没有管理员喜欢使用,他们需要的是如何利用它来进行工作。对于管理员来说,他们眼中的系统用户界面(UI)应该是:简单实用。下面是可避免使用WindowsServer2012的GUI,又能解决问题的方式。

2013-10-09 13:43:09

移动数据时如何避免停机中断
企业知道他们需要更多地利用云计算,特别是实施更具战略性和智能的事情:高速,高容量的数据压缩,以支持实时决策和复杂的自动化。如今产生的数据量也使得建设二级数据中心成本过高,而这是进一步推动企业走向云计算的因素。

2017-08-18 09:05:50

Go 重构:尽量避免使用 else、break continue
我经常要解开多个复杂的ifelse结构,多余的缩进、过多的逻辑只会加深理解。这篇文章的主要目的是让代码更透明、更易读。

2023-11-01 13:32:42

Go代码
分析SELinux日志,排查SELinux故障
日志档是排除任何疑难的关键,而SELinux亦不例外。SELinux缺省会通过Linux审计系统(auditd)将日志写在varlogauditaudit.log内,而这项务服缺省为启用的。假若auditd并未运行,信息将会被写进varlogmessages。SELinux的日志都被标签有AVC这个关键字,方便它们从其它信息中过滤出来。

2013-05-06 16:36:55

SELinuxSELinux故障
浅析如何定位,排除避免MySQL性能故障
本文将简单谈谈如何定位,排除和避免MySQL性能故障,包括善用explain、MySQL慢查询日志、监视当前进程等等方法。

2009-05-13 11:13:07

MySQL定位性能故障
看CentOS系统如何快速关闭SELINUX
CentOS系统在我个人认为,已经很稳定安全了,但是,SELINUX还是很重要。本文主要讲CentOS系统如何快速关闭SELINUX。

2010-04-01 15:16:45

CentOS系统
数据迁移上云:如何避免停机中断
如今,越来越多的组织需要在数据中心和云端之间移动数据,但在移动数据期间面临停机的风险是一个难题。据调研机构451Research数据,2018年约有60%的企业IT工作负载在某种形式的公共云或私有云上运行,而IDC,Gartner和Forrester的调查结果与此大致相同。

2018-04-26 11:00:17

数据移动数据中心云端
如何避免虚拟化云停滞的危险
虚拟化和云计算等技术在效率和灵活性方面带来了巨大飞跃,但企业如果没有适当地完成过渡的话,极有可能陷入泥潭中。Westcon集团首席信息官、首席技术官兼执行副总裁BillHurley表示,如果没有适当的规划,企业在过渡到虚拟化环境或者云环境的过程中可能会出现停滞不前的情况,并且可能面对大量沉没成本,而且看不到前进的道路。

2012-04-13 16:26:49

虚拟化云计算云停滞
详解SELinux故障排查陷阱规避
为SELinux排查故障可能很难,但是如果您了解服务的组件,就能应对它带来的任何难题。

2021-01-29 08:00:00

服务器安全SELinux
如何禁用Cookie功能
Cookie实际上是一些小的数据包,里面包含着关于你网上冲浪习惯的信息,可以方便你以后的操作,但随后就为因特网上了解Cookie的站点所知。正因如此,我们还是有必要学会禁用Cookie,以保证上网的安全。

2010-09-07 14:27:04

Cookie
如何避免BYOD灾难
想象一下这样一家机构,其员工们每年可以享受好几个月的假期。这听起来似乎只是个梦想,但是在BYOD时代却并非不可能。虽然BYOD也可能成为IT管理者们最糟糕的梦魇。

2013-03-25 10:15:57

如何避免开源陷阱
由于开源有这样的主导地位,我们经常会看到一些公司将他们的软件营销为"开源",尽管它并没有提供真正开源软件所提供的所有(或任何)好处。在这篇文章中,我们看看一些常见的陷阱,并提供如何避免这些陷阱的建议。

2021-03-01 15:52:14

开源开源软件陷阱
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服