CentOS SELinux用戶權限管理主要通過安全上下文���、角色���、策略配置實現���,核心命令及操作如下:
一����、基礎概念與狀態管理
- 安全上下文:由用戶��、角色�、類型��、級別組成����,決定訪問權限(如
ls -Z查看文件上下文)�����。
- 工作模式:
- Enforcing(默認):強制實施策略�����,違反規則將被阻止并記錄�。
- Permissive:僅記錄違規行為����,不阻止操作(用于測試)����。
- Disabled:完全關閉SELinux��。
- 修改模式:
- 臨時:
setenforce 0/1���。
- 永久:編輯
/etc/selinux/config��,重啟生效�����。
二��、用戶權限配置核心方法
1. 用戶與角色映射
- 將系統用戶關聯到SELinux用戶(如
semanage login -a -s user_r username)�����。
- 查看用戶映射:
semanage login -l�。
2. 安全上下文管理
- 臨時修改:
chcon -t 類型 文件/目錄(如chcon -t httpd_sys_content_t /var/www)����。
- 永久修改:
semanage fcontext -a -t 類型 文件/目錄����,需配合restorecon恢復默認上下文��。
3. 策略規則管理
- 查看策略:
seinfo(查看策略信息)��、sesearch(搜索規則)��。
- 自定義規則:
- 通過
audit2allow工具生成策略模塊(基于拒絕日志):
ausearch -m avc -ts recent | audit2allow -M mypolicy����,再執行semodule -i mypolicy.pp�����。
- 啟用/禁用布爾值:調整特定權限開關(如
setsebool -P httpd_enable_homedirs on)�。
三���、關鍵命令總結
| 場景 |
命令 |
作用 |
| 查看狀態 |
getenforce�、sestatus |
查看當前模式及詳細信息 |
| 用戶角色管理 |
semanage login -a -s 角色 用戶名 |
分配用戶到指定角色 |
| 文件上下文 |
chcon��、restorecon |
臨時/永久修改文件安全上下文 |
| 策略編輯 |
semodule -i�����、semodule -r |
安裝/刪除自定義策略模塊 |
| 日志分析 |
ausearch���、aureport |
查看被拒絕的操作記錄 |
四����、注意事項
- 修改策略前建議備份原始文件��,避免誤操作導致系統異常����。
- 生產環境需謹慎測試自定義策略����,優先使用默認策略或經過驗證的規則�。
參考來源:
