CentOS. Настройка SELinux.
/etc/sysconfig/selinux - файл, где хранятся настройки режимов SELinux
enforcing - включает SELinux
permissive - записывается лог нарушений безопасности, но никаких действий SELinux не предпринимает
disabled - отключает SELinux
ls -Z - показывает список файлов и папок с контекстом SELinux
ps -Z - показывает список запущенных программ с контекстом SELinux
netstat -Z - показывает список сетевых портов с контекстом SELinux
chcon -t - изменить контекст SELinux для файла или папки. Нужно указать необходимый тип контекста.
chcon -t httpd_sys_content_t file.html - изменить тип контекста SELinux для файла file.html
restorecon -vR - изменить контекст SELinux для папки и файлов в ней (флаг R). Указывать тип при этом не нужно.
yum install setroubleshoot-server - установить программу для устранения ошибок SELinux
service auditd restart - перезапустить лог аудитов
/var/log/messages - файл, куда setroubleshoot записывает лог
getsebool -a - показать список всех доступных булевых значений SELinux
setsebool [-P] booloption on/off - включить/выключить нужное булевое настройку. -P делает изменение постоянным (permanent). Вместо on/off можно использовать 1/0.
setsebool -P httpd_read_user_content 1 - присваивает булевому настройке httpd_read_user_content значение 1, тем самым включает её
/etc/selinux/targeted/modules/active/booleans.local - файл, где хранятся все включенные булевые настройки SELinux в системе
enforcing - включает SELinux
permissive - записывается лог нарушений безопасности, но никаких действий SELinux не предпринимает
disabled - отключает SELinux
ls -Z - показывает список файлов и папок с контекстом SELinux
ps -Z - показывает список запущенных программ с контекстом SELinux
netstat -Z - показывает список сетевых портов с контекстом SELinux
chcon -t - изменить контекст SELinux для файла или папки. Нужно указать необходимый тип контекста.
chcon -t httpd_sys_content_t file.html - изменить тип контекста SELinux для файла file.html
restorecon -vR - изменить контекст SELinux для папки и файлов в ней (флаг R). Указывать тип при этом не нужно.
yum install setroubleshoot-server - установить программу для устранения ошибок SELinux
service auditd restart - перезапустить лог аудитов
/var/log/messages - файл, куда setroubleshoot записывает лог
getsebool -a - показать список всех доступных булевых значений SELinux
setsebool [-P] booloption on/off - включить/выключить нужное булевое настройку. -P делает изменение постоянным (permanent). Вместо on/off можно использовать 1/0.
setsebool -P httpd_read_user_content 1 - присваивает булевому настройке httpd_read_user_content значение 1, тем самым включает её
/etc/selinux/targeted/modules/active/booleans.local - файл, где хранятся все включенные булевые настройки SELinux в системе