CentOS SELinux用户权限管理主要通过安全上下文、角色、策略配置实现,核心命令及操作如下:
ls -Z查看文件上下文)。setenforce 0/1。/etc/selinux/config,重启生效。semanage login -a -s user_r username)。semanage login -l。chcon -t 类型 文件/目录(如chcon -t httpd_sys_content_t /var/www)。semanage fcontext -a -t 类型 文件/目录,需配合restorecon恢复默认上下文。seinfo(查看策略信息)、sesearch(搜索规则)。audit2allow工具生成策略模块(基于拒绝日志):ausearch -m avc -ts recent | audit2allow -M mypolicy,再执行semodule -i mypolicy.pp。setsebool -P httpd_enable_homedirs on)。| 场景 | 命令 | 作用 |
|---|---|---|
| 查看状态 | getenforce、sestatus |
查看当前模式及详细信息 |
| 用户角色管理 | semanage login -a -s 角色 用户名 |
分配用户到指定角色 |
| 文件上下文 | chcon、restorecon |
临时/永久修改文件安全上下文 |
| 策略编辑 | semodule -i、semodule -r |
安装/删除自定义策略模块 |
| 日志分析 | ausearch、aureport |
查看被拒绝的操作记录 |
参考来源: