注意:在从disabled状态切换至enforcing或permissive状态需要重启系统,这时候系统会对每一个文件一一重打标签,需要花费一定的时间。
修改selinux 的安全标签
给文件重新打安全标签
chcon [OPTION]… [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE..
chcon [OPTION]… –reference=RFILE FILE..
-R:递归打标,对目录而言
例如我想给自己定义的web文档根目录自定义为/htdocs
chcon -R httpd_sys_content_t /htdocs
恢复目录或文件默认的安全上下文
resotrecon [-R] /path/to/somewhere
例如:我又将web的文档根目录改为原来的目录,这时候自定义的目录的标签需要还原
restorecon -R /htdocs
恢复是根据策略库当中的策略进行还原
默认安全上下文查询与修改
semanage来自policycoreutils-python包,有些系统默认没有安装,安装次包即可使用semanage命令
查看默认的安全上下文
semanage fcontext –l
添加安全上下文
semanage fcontext -a –t httpd_sys_content_t ‘/home/hadoop(/.*)?’
restorecon –Rv /home/hadoop 此步骤一定不能忘记,它从策略库进行还原安全上下文,执行此命令才会生效
删除安全上下文
semanage fcontext –d –t httpd_sys_content_t ‘/home/hadoop(/.*)?’
selinux端口标签
查看端口标签
semanage port -l
添加端口
semanage port -a -t port_label –p tcp|udp port
semanage port –a -t htt_port_t -p tcp 8080
删除端口
semanage port -d -t port_label -p tcp|udp port
semanage port -d -t htt_port_t -p tcp 8080
修改现有(已存在)端口为新标签
semanage port -m –t port_label –p tcp|udp port
semanage port –m –t ssh_port_t –p tcp 8080 将ssh服务的端口改为8080
selinux布尔值
查看布尔值命令
getsebool [-a] [boolean]
semanage boolean –l -C 查看修改过的布尔值
设置bool值命令
setsebool [-P] boolean value (on|off|1|0)
setsebool httpd_enable_homedirs on|1 开启httpd家目录访问,但不会写入策略库中
setsebool -P httpd_enable_homedirs on|1
修改bool值时后面的值可以对布尔值类型后跟=加值的设置方法
