117笔记问答SELinux(Security-Enhanced Linux)是一种用于提高系统安全性的 Linux 内核安全模块
- 查看当前 SELinux 状态:
getenforce
- 临时设置 SELinux 策略(重启后失效):
sudo setenforce 0 # 禁用 SELinux sudo setenforce 1 # 启用 SELinux
-
永久设置 SELinux 策略:
a. 编辑
/etc/selinux/config文件:sudo nano /etc/selinux/config
b. 修改
SELINUX=配置项,选择所需的模式:SELINUX=enforcing # 启用 SELinux SELINUX=permissive # 仅记录安全策略违规,不阻止操作 SELINUX=disabled # 禁用 SELinux
c. 保存文件并退出编辑器。
d. 重启系统以应用更改:
sudo reboot
-
创建自定义 SELinux 策略:
a. 安装
policygen工具:sudo yum install policygen
b. 创建策略文件,例如
/etc/selinux/policy/custom.pp:sudo nano /etc/selinux/policy/custom.pp
c. 在文件中编写自定义策略规则,例如:
module custom { require { type user_t; type file_t; } allow user_t file_t:read; }d. 编译策略文件:
sudo policygen -i custom.pp -m custom
e. 启用自定义策略:
sudo semodule -i custom.pp
-
检查 SELinux 日志:
a. 查看 SELinux 日志文件:
sudo cat /var/log/audit/audit.log | grep SELinux
b. 如果需要,可以调整日志级别以获取更多或更少的信息:
sudo setenforce 1 sudo auditctl -w /path/to/your/file -p wa -k your_custom_keyword
通过以上步骤,您可以根据需要设置和管理 SELinux 安全策略。