在CentOS中修改SELinux策略,可以按照以下步骤进行:
使用命令行查看:
getenforce
命令,可以查看SELinux的当前运行模式(Enforcing、Permissive或Disabled)。查看SELinux配置文件:
/etc/selinux/config
文件,查看 SELINUX
参数的值来确定SELinux的默认运行模式。setenforce 0
setenforce 1
编辑SELinux配置文件:
vi
或 nano
)打开 /etc/selinux/config
文件。SELINUX=enforcing
这一行,将其修改为所需的模式:
SELINUX=enforcing
(强制模式)SELINUX=permissive
(宽容模式)SELINUX=disabled
(禁用模式)保存并退出编辑器。
重启系统以使更改生效:
reboot
如果需要更精细地控制SELinux策略,可以编写自定义策略模块。以下是基本步骤:
安装必要的工具:
policycoreutils-python
和 audit2allow
工具。yum install policycoreutils-python audit2allow
收集SELinux拒绝日志:
/var/log/audit/audit.log
文件,找到相关的SELinux拒绝记录。生成自定义策略模块:
audit2allow
工具从日志中提取规则并生成策略模块。grep avc /var/log/audit/audit.log | audit2allow -M mypol
mypol.te
(策略文件)和 mypol.pp
(编译后的策略模块)。加载自定义策略模块:
semodule
命令加载生成的策略模块。semodule -i mypol.pp
验证策略模块:
sestatus
命令查看新加载的策略模块状态。semodule -l | grep mypol
通过以上步骤,您可以在CentOS系统中灵活地修改和管理SELinux策略。