使用semanage管理SELinux安全策略

简介: Semanage是用于配置SELinux策略某些元素而无需修改或重新编译策略源的工具。

Semanage是用于配置SELinux策略某些元素而无需修改或重新编译策略源的工具。 这包括将Linux用户名映射到SELinux用户身份以及对象(如网络端口,接口和主机)的安全上下文映射。
简介
Semanage是用于配置SELinux策略某些元素而无需修改或重新编译策略源的工具。 这包括将Linux用户名映射到SELinux用户身份以及对象(如网络端口,接口和主机)的安全上下文映射。

实验环境
Centos7.7操作系统

Selinux已经开启
开启方式:

[root@localhost ~]# sed -i '/^SELINUX/s/disabled/enforcing/g' /etc/selinux/config

然后重启一下操作系统

[root@localhost ~]# reboot

重启完成之后检查一下是否是enforcing模式

[root@localhost ~]# getenforce
Enforcing
常用参数
port: 管理定义的网络端口类型
fcontext: 管理定义的文件上下文
-l: 列出所有记录
-a: 添加记录
-m: 修改记录
-d: 删除记录
-t: 添加的类型
-p: 指定添加的端口是tcp或udp协议的,port子命令下使用
-e: 目标路径参考原路径的上下文类型,fcontext子命令下使用
列出所有定义的端口
使用semanage port命令列出所有端口

[root@localhost ~]# semanage port -l
SELinux Port Type Proto Port Number

afs3_callback_port_t tcp 7001
afs3_callback_port_t udp 7001
afs_bos_port_t udp 7007
afs_fs_port_t tcp 2040
afs_fs_port_t udp 7000, 7005
afs_ka_port_t udp 7004
afs_pt_port_t tcp 7002
afs_pt_port_t udp 7002
afs_vl_port_t udp 7003
agentx_port_t tcp 705
agentx_port_t udp 705
amanda_port_t tcp 10080-10083
amanda_port_t udp 10080-10082


如何使用semanage管理SELinux安全策略如何使用semanage管理SELinux安全策略
列出指定的端口类型的端口

[root@localhost ~]# semanage port -l|grep -w http_port_t
http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000
如何使用semanage管理SELinux安全策略如何使用semanage管理SELinux安全策略
通过查询端口号来列出端口类型

[root@localhost ~]# semanage port -l|grep -w 53
dns_port_t tcp 53
dns_port_t udp 53
[root@localhost ~]# semanage port -l|grep -w 20
ftp_data_port_t tcp 20
[root@localhost ~]# semanage port -l|grep -w 21
ftp_port_t tcp 21, 989, 990
如何使用semanage管理SELinux安全策略如何使用semanage管理SELinux安全策略

创建、添加、修改端口
通过下面的命令为http添加新端口

[root@localhost ~]#
[root@localhost ~]# semanage port -a -t http_port_t -p tcp 8888
[root@localhost ~]#

查看新添加的端口

[root@localhost ~]# semanage port -l|grep -w 8888
http_port_t tcp 8888, 80, 81, 443, 488, 8008, 8009, 8443, 9000

也可以使用-C参数查看自定义的端口号

[root@localhost ~]# semanage port -lC
SELinux Port Type Proto Port Number

http_port_t tcp 8888
如何使用semanage管理SELinux安全策略如何使用semanage管理SELinux安全策略
添加一个范围的端口

[root@localhost ~]# semanage port -a -t http_port_t -p tcp 11180-11188
[root@localhost ~]#
[root@localhost ~]# semanage port -lC
SELinux Port Type Proto Port Number

http_port_t tcp 8888, 11180-11188
如何使用semanage管理SELinux安全策略如何使用semanage管理SELinux安全策略

删除端口
[root@localhost ~]# semanage port -d -t http_port_t -p tcp 8888
[root@localhost ~]#
[root@localhost ~]# semanage port -d -t http_port_t -p tcp 11180-11188
[root@localhost ~]#

查看一下,已经没有自定义的端口了

[root@localhost ~]# semanage port -lC
如何使用semanage管理SELinux安全策略如何使用semanage管理SELinux安全策略

修改安全上下文
为samba共享目录添加安全上下文

没添加安全上下文之前是default_t

[root@localhost ~]# ll -dZ /share/
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /share/
[root@localhost ~]# semanage fcontext -a -t samba_share_t '/share(/.*)?'

恢复文件默认的安全上下文

[root@localhost ~]# restorecon -Rv /share
restorecon reset /share context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:samba_share_t:s0

查看一下文件夹已经变成samba_share_t了

[root@localhost ~]# ll -dZ /share
drwxr-xr-x. root root unconfined_u:object_r:samba_share_t:s0 /share
如何使用semanage管理SELinux安全策略如何使用semanage管理SELinux安全策略
为nfs共享目录添加读写

[root@localhost ~]# ll -dZ /nfsshare/
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /nfsshare/
[root@localhost ~]#
[root@localhost ~]# semanage fcontext -a -t public_content_rw_t '/nfsshare(/.*)?'
[root@localhost ~]# restorecon -Rv /nfsshare
[root@localhost ~]# ll -dZ /nfsshare/
drwxr-xr-x. root root unconfined_u:object_r:public_content_rw_t:s0 /nfsshare/
如何使用semanage管理SELinux安全策略如何使用semanage管理SELinux安全策略

总结
本文讲述了添加、修改和删除端口,修改安全上下文。如果你的系统有安装桌面,可以安装图形化管理软件 policycoreutils-gui来进行管理。

[root@localhost ~]# yum -y install policycoreutils-gui

system-config-selinux执行该命令打开图形化管理界面

[root@localhost ~]# system-config-selinux
如何使用semanage管理SELinux安全策略如何使用semanage管理SELinux安全策略

相关文章
|
安全 Linux 开发工具
16.5.4 【Linux】SELinux 政策内的规则管理
16.5.4 【Linux】SELinux 政策内的规则管理
70 0
|
6月前
|
安全 JavaScript 数据安全/隐私保护
SELinux 安全模型——MLS
BLP 模型:于1973年被提出,是一种模拟军事安全策略的计算机访问控制模型,它是最早也是最常用的一种多级访问控制模型,主要用于保证系统信息的机密性,是第一个严格形式化的安全模型
85 3
SELinux 安全模型——MLS
|
6月前
|
监控 安全 数据安全/隐私保护
selinux的安全策略可以影响ntp的方式
selinux的安全策略可以影响ntp的方式
56 5
|
7月前
|
安全 网络协议 网络安全
防火墙之安全策略
防火墙之安全策略
123 7
|
存储 安全 数据安全/隐私保护
配置本地安全策略(一)
配置本地安全策略(一)
232 0
|
存储 安全 数据安全/隐私保护
配置本地安全策略(二)
配置本地安全策略(二)
235 0
|
安全 Linux 网络安全
简化防火墙管理:探索Linux防火墙工具UFW
在网络安全领域,防火墙是保护计算机网络免受恶意攻击和未经授权访问的重要工具。然而,防火墙的配置和管理可能变得复杂,特别是对于不熟悉网络安全的人来说。幸运的是,Linux系统提供了一个名为UFW(Uncomplicated Firewall)的工具,它简化了防火墙的配置和管理。本文将深入探讨UFW的基本概念、用法以及如何在Linux系统中使用它来实现防火墙规则。
255 0
|
安全 网络协议 Java
防火墙技术之安全策略
1.什么是安全策略 安全策略基于安全区域的域间关系来呈现,其内容包括两个组成部分。 条件。检查报文的依据,防火墙将报文中携带的信息与条件逐一对比,以此来判断报文是否匹配。 动作。对匹配了条件的报文执行的动作,包括允许通过(permit)或拒绝通过(deny),一条策略中只能有一个动作
416 0
防火墙技术之安全策略
|
Linux 网络安全
Linux服务管理
1.service service命令,顾名思义,就是用于管理Linux操作系统中服务的命令。 这个命令不是在所有的linux发行版本中都有。主要是在redhat、fedora、mandriva和centos中。 查看所有服务当前的运行状态:
490 0
Linux服务管理