setsebool命令詳解與SELinux管理

setsebool命令是用來修改SElinux策略內各項規則的布爾值。setsebool命令和getsebool命令是SELinux修改和查詢布爾值的一套工具組。SELinux的策略與規則管理相關命令：seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面讓咱們詳細講解一下setsebool命令的使用方法。

語法

setsebool [-P] 布爾值=[0|1]

選項

-P:直接將設置值寫入配置文件，該設置數據未來會生效的。

實例

setsebool -P allow_ftpd_anon_write=1          #容許ftpd匿名用戶可寫
setsebool -P ftp_home_dir 1                   #容許用戶訪問本身的根目錄
setsebool -P ftpd_is_daemon 1                 #容許daemon運行ftpd
setsebool -P ftpd_disable_trans 1             #關閉SELINUX對ftpd的保護
setsebool -P allow_httpd_anon_write=1         #容許httpd匿名用戶可寫
setsebool -P allow_httpd_sys__anon_write=1    #同上
setsebool -P httpd_enable_cgi 1               #httpd被設置容許cgi被執行
setsebool -P httpd_enable_homedirs 1          #容許訪問用戶的根目錄
setsebool -P httpd_tty_comm 1                 #容許httpd控制終端
setsebool -P httpd_unified 0                  #httpd之間相互獨立
setsebool -P httpd_builtin_ing 0              #同httpd環境同樣運行
setsebool -P httpd_can_network_connect_db 1   #httpd能夠鏈接到數據庫(如鏈接mysql就必須設置)
setsebool -P httpd_can_network_connect 1      #httpd能夠鏈接到網絡(如鏈接redis就必須設置)
setsebool -P httpd_read_user_content 1        #開啓用戶文件的訪問權限(如日誌文件就必須設置)
setsebool -P httpd_suexec_disable_trans 1     #禁用suexec過分
setsebool -P httpd_disable_trans 1            #容許daemon用戶啓動httpd
setsebool -P httpd_can_sendmail 1             #容許httpd發送email
setsebool -P named_write_master_zones 1       #容許修改dns的主zone文件
setsebool -P named_disable_trans 1            #容許daemon啓動named
setsebool -P nfs_export_all_ro 1              #nfs只讀
setsebool -P nfs_export_all_rw 1              #nfs可讀寫
setsebool -P use_nfs_home_dirs 1              #容許本機訪問遠程nfs的根目錄
setsebool -P allow_smbd_anon_write=1          #samba容許匿名用戶可寫
setsebool -P samba_enable_home_dirs 1         #容許根目錄訪問
setsebool -P use_samba_home_dirs 1            #容許本機訪問遠程samba根目錄
setsebool -P smbd_disable_trans 1             #容許daemon啓動samba
setsebool -P allow_rsync_anon_write=1         #容許匿名用戶可寫
setsebool -P rsync_disable_trans 1            #容許daemon啓動rsync

 

其餘命令

getsebool -a                                  #列出全部模塊
getsebool -a | grep ftp                       #列出全部與ftp相關的模塊

 

selinux默認不容許httpd訪問「/home/用戶名」目錄（可是容許訪問"/usr/local/用戶名"這種目錄），如今有兩種解決方案：

方案一：（容許用戶httpd訪問其家目錄）

setsebool -P httpd_read_user_content 1
setsebool -P httpd_enable_homedirs 1

方案二：（使用semanage命令修改安全上下文） 

semanage fcontext -a -t httpd_sys_content_t '/home/用戶名(/.*)?'
#從新加載，刷新配置
restorecon -R -v /home/用戶名
#查看安全上下文是否永久生效
semanage fcontext -l | grep /home/用戶名
#查看安全上下文是否永久生效
ls -Zd /home/用戶名

 

容許公共目錄共享，如ftp,samba,web都訪問共享目錄

setsebool -P public_content_t 1 
setsebool -P public_content_rw_t 1

 

容許httpd鏈接mysql：

setsebool -P httpd_can_network_connect_db 1

 

容許httpd鏈接redis：

setsebool -P httpd_can_network_connect=1

 

容許使用ftpd，如vsftpd就須要用到：

setsebool -P ftpd_full_access 1
setsebool -P ftp_home_dir  1 #可能會提示「Boolean ftp_home_dir is not defined」那就不用管了

 

容許httpd發送email：

setsebool -P httpd_can_sendmail 1

 

其餘命令

#查看selinux狀態
sestatus

#查看getenforce狀態
getenforce

#臨時關閉selinux，設置SELinux 成爲permissive模式
setenforce 0

#臨時打開selinux，設置SELinux 成爲enforcing模式
setenforce 1

#永久關閉SELinux
vi /etc/selinux/config
修改並設置SELINUX=disabled，再重啓服務器。

 

 

使用semanage管理SELinux

#使用semanage管理SELinux，安裝semanage
yum -y install semanage
若是提示：「No package semanage available.」則執行以下命令：
yum -y provides semanage
執行完以上命令成功後會提示：Filename : /usr/sbin/semanage
再執行：
yum -y install policycoreutils-python
執行以上命令成功以後就安裝好了semanage

#查看全部端口規則
semanage port -l

#查看某個端口的規則
semanage port -l | grep 6379

#查看ssh端口規則
semanage port -l | grep ssh
#給ssh放開某個端口
semanage port -a -t ssh_port_t -p tcp 9998
#給ssh刪除某個已放開的端口
semanage port -d -t ssh_port_t -p tcp 9998

#查看http端口規則
semanage port -l | grep http_port_t
#給httpd放開某個端口
semanage port -a -t http_port_t -p tcp 2201
#給httpd刪除某個已放開的端口
semanage port -d -t http_port_t -p tcp 2201

#查看redis端口規則
semanage port -l | grep redis_port_t
#redis添加端口規則
semanage port -a -t redis_port_t -p tcp 2201
semanage port -d -t redis_port_t -p tcp 2201

#給httpd添加某個目錄（如/websites）安全上下文
semanage fcontext -a -t httpd_sys_content_t "/websites(/.*)?"
#從新加載配置
restorecon -R -v /websites
#查看安全上下文是否永久生效
semanage fcontext -l | grep /websites
#查看安全上下文是否永久生效
ls -Zd /websites