Linux下如何管理SELinux策略

在 Linux 下，SELinux（Security-Enhanced Linux）是一种强制访问控制（MAC）安全模块，用于限制进程访问文件和系统资源的能力

1. 查看当前 SELinux 策略：

   使用 getenforce 命令查看当前的 SELinux 模式。如果返回值为 Enforcing，则表示 SELinux 已启用并正在执行强制访问控制。如果返回值为 Permissive，则表示 SELinux 已启用，但不会强制执行访问控制。如果返回值为 Disabled，则表示 SELinux 未启用。

2. 查看 SELinux 策略配置文件：

   SELinux 策略配置文件位于 /etc/selinux/config 文件中。使用文本编辑器打开该文件，可以查看和编辑 SELinux 的默认策略。

3. 使用 audit2allow 工具生成自定义策略：

   audit2allow 是一个用于将 SELinux 审计日志转换为可执行的策略文件的工具。首先，需要安装 audit2allow 和 libaudit-tools 软件包：

   sudo apt-get install audit2allow libaudit-tools
   

   然后，使用 ausearch 和 aureport 命令从审计日志中提取相关信息，并使用 audit2allow 生成自定义策略文件：

   sudo ausearch -k avc_errors
   sudo aureport -ua -m avc_errors
   sudo audit2allow -M mycustompolicy
   

   其中，mycustompolicy 是生成的自定义策略文件名。最后，使用 semodule 命令加载生成的策略文件：

   sudo semodule -i mycustompolicy.pp
   

4. 管理 SELinux 策略上下文：

   SELinux 策略上下文是用于描述进程访问文件和系统资源的权限的标签。可以使用 ls -Z 命令查看文件和目录的 SELinux 上下文。如果需要修改上下文，可以使用 chcon 命令：

   sudo chcon -t httpd_sys_content_t /path/to/file
   

   其中，httpd_sys_content_t 是目标文件的 SELinux 上下文类型，/path/to/file 是要修改的文件路径。

5. 管理 SELinux 策略缓存：

   SELinux 策略缓存用于提高策略加载速度。可以使用 setenforce 命令临时禁用 SELinux 强制访问控制：

   sudo setenforce 0
   

   要永久禁用 SELinux，可以编辑 /etc/selinux/config 文件，将 SELINUX=enforcing 更改为 SELINUX=disabled，然后重启系统。要重新启用 SELinux，请将 SELINUX=disabled 更改为 SELINUX=enforcing，然后重启系统。