SELinux默認(rèn)安全上下文的查詢和更改semanage命令

2024-08-27 23:56:09

字體：大中小

供稿：網(wǎng)友

　　前面講到，restorecon 命令可以將文件或目錄恢復(fù)成默認(rèn)的安全上下文，這就說明每個文件和目錄都有自己的默認(rèn)安全上下文，事實也是如此，為了管理的便捷，系統(tǒng)給所有的系統(tǒng)默認(rèn)文件和目錄都定義了默認(rèn)的安全上下文。

　　那么，默認(rèn)安全上下文該如何查詢和修改呢？這就要使用 semanage 命令了。該命令的基本格式如下：

　　[root@localhost ~]# semanage [login|user|port|interface|fcontext|translation] -l

　　[root@localhost ~]# semanage fcontext [選項] [-first] file_spec

　　其中，fcontext 主要用于安全上下文方面，-l 是查詢的意思。除此之外，此命令常用的一些選項及含義，如表 1 所示。

　　選項含義

　　-a 添加默認(rèn)安全上下文配置。

　　-d 刪除指定的默認(rèn)安全上下文。

　　-m 修改指定的默認(rèn)安全上下文。

　　-t 設(shè)定默認(rèn)安全上下文的類型

　　【例 1】查詢默認(rèn)安全上下文。

　　[root@localhost ~]# semanage fcontext -l

　　#查詢所有的默認(rèn)安全上下文

　　…省略部分輸出…

　　/var/www(/.*)? all files

　　system_u：object_r：httpd_sys_content_t：s0

　　…省略部分輸出…

　　#能夠看到/var/www/目錄下所有內(nèi)容的默認(rèn)安全上下文都是httpd_sys_content_t

　　所以，一旦對 /var/www/ 目錄下文件的安全上下文進(jìn)行了修改，就可以使用 restorecon 命令進(jìn)行恢復(fù)，因為默認(rèn)安全上下文已經(jīng)明確定義了。

　　【例 2】修改默認(rèn)安全上下文。

　　那么，可以修改目錄的默認(rèn)安全上下文嗎？當(dāng)然可以，舉個例子：

　　[root@localhost ~]# mkdir /www

　　#新建/www/目錄，打算用這個目錄作為apache的網(wǎng)頁主目錄，而不再使用/var/www/html/目錄

　　[root@localhost ~]# ls -Zd /www/

　　drwxr-xr-x．root root unconfined_u：object_r：default_t：s0 /www/

　　#而這個目錄的安全上下文類型是default_t，那么apache進(jìn)程當(dāng)然就不能訪問和使用/www/目錄了

　　這時我們可以直接設(shè)置 /www/ 目錄的安全上下文類型為 httpd_sys_content_t，但是為了以后管理方便，我打算修改 /www/ 目錄的默認(rèn)安全上下文類型。先查詢一下 /www/ 目錄的默認(rèn)安全上下文類型，命令如下：

　　[root@localhost ~]# semanage fcontext -l | grep "/www"

　　#查詢/www/目錄的默認(rèn)安全上下文

　　查詢出了一堆結(jié)果，但是并沒有 /www/ 目錄的默認(rèn)安全上下文，因為這個目錄是手工建立的，并不是系統(tǒng)默認(rèn)目錄，所以并沒有默認(rèn)安全上下文，需要我們手工設(shè)定。命令如下：

　　[root@localhost ~]# semanage fcontext -a -t httpd_sys_content_t "/www(/.*)?"

　　#這條命令會給/www/目錄及目錄下的所有內(nèi)容設(shè)定默認(rèn)安全上下文類型是httpd_sys_content_t

　　[root@localhost ~# semanage fcontext -l | grep "/www"

　　…省略部分輸出…

　　/www(/.*)? all files system_u：object_r：httpd_sys_content_t：s0

　　#/www/目錄的默認(rèn)安全上下文出現(xiàn)了

　　這時已經(jīng)設(shè)定好了 /www/ 目錄的默認(rèn)安全上下文。

　　[root@localhost ~]# ls -Zd /www/

　　drwxr-xr-x．root root unconfined_u：object_r：default_t：s0 /www/

　　#但是查詢發(fā)現(xiàn)/www/目錄的安全上下文并沒有進(jìn)行修改，那是因為我們只修改了默認(rèn)安全上下文，而沒有修改目錄的當(dāng)前安全上下文

　　[root@localhost ~]# restorecon -Rv /www/

　　restorecon reset /www context

　　unconfined_u：object_r：default_t：s0->unconfined_u：object_r：httpd_sys_content_t：s0

　　#恢復(fù)一下/www/目錄的默認(rèn)安全上下文，發(fā)現(xiàn)類型已經(jīng)被修改為httpd_sys_content_t

　　默認(rèn)安全上下文的設(shè)定就這么簡單。

（編輯：武林網(wǎng)）

上一篇：SELinux auditd日志系統(tǒng)的安裝與開啟

下一篇：SELinux安全上下文的修改和操作chcon和restorecon命令