在CentOS中设置SELinux策略,可以按照以下步骤进行:
getenforce
或者sestatus
这两个命令都会显示SELinux当前是处于Enforcing(强制模式)还是Permissive(宽容模式)。如果需要更改SELinux的模式,可以使用以下命令:
临时切换到宽容模式:
setenforce 0
这将立即把SELinux切换到宽容模式,但重启后会恢复原设置。
永久切换到宽容模式:
编辑/etc/selinux/config
文件,找到SELINUX=enforcing
这一行,将其改为SELINUX=disabled
或SELINUX=permissive
,然后保存并退出。
sudo vi /etc/selinux/config
修改后,重启系统以使更改生效。
查看当前SELinux策略:
getsebool -a
这个命令会列出所有SELinux布尔值的当前状态。
修改SELinux布尔值:
如果需要修改某个布尔值,可以使用setsebool
命令。例如,允许FTP服务通过防火墙:
sudo setsebool -P ftp_home_dir on
-P
选项表示永久更改。
加载自定义SELinux策略模块:
如果有自定义的SELinux策略模块,可以使用semodule
命令来加载它们。
sudo semodule -i your-custom-policy.pp
-i
选项表示安装模块。
查看已加载的SELinux策略模块:
semodule -l
启用SELinux审计日志:
编辑/etc/selinux/config
文件,确保以下行未被注释:
SELINUX_AUDIT=1
这将启用SELinux审计日志,有助于调试策略问题。
查看SELinux审计日志:
审计日志通常位于/var/log/audit/audit.log
。可以使用ausearch
和aureport
工具来查询和分析日志。
sudo ausearch -m avc -ts recent
sudo aureport -m avc
通过以上步骤,你可以在CentOS系统中设置和管理SELinux策略。