红帽全球峰会第 4 章 使用 SELinux
以下小节简要介绍了 Red Hat Enterprise Linux 中的主要 SELinux 软件包;安装和更新软件包;使用哪个日志文件;使用主 SELinux 配置文件;启用和禁用 SELinux;SELinux 模式;配置布尔值;临时和永久更改文件和目录标签;使用 mount 命令覆盖文件系统标签;挂载 NFS 卷;在复制和归档文件和目录时,如何保留 SELinux 上下文。
4.1. SELinux 软件包
在 Red Hat Enterprise Linux 完整安装中,SELinux 软件包会被默认安装,除非在安装过程中手动排除它们。如果以文本模式执行最小安装,则默认情况下不会安装 policycoreutils-python 和 policycoreutils-gui 软件包。此外,SELinux 默认以强制模式运行,并使用 SELinux 目标策略。默认情况下,您的系统中会安装以下 SELinux 软件包:
- policycoreutils 提供了包括
restorecon、secon、setfiles、semodule、load_policy和setsebool等实用程序,用于操作和管理 SELinux。 - selinux-policy 提供 基本目录结构、
selinux-policy.conf文件和 RPM 宏。 - selinux-policy-targeted 提供了 SELinux targeted 策略。
- libselinux - 为 SELinux 应用程序提供 API.
- libselinux-utils 提供
avcstat,getenforce,getsebool,matchpathcon,selinuxconlist,selinuxdefcon,selinuxenabled, 和setenforce工具。 - libselinux-python 为开发 SELinux 应用程序提供 Python 绑定。
以下软件包不会被默认安装,但可以通过运行 yum install < package-name> 命令来选择性地安装:
- selinux-policy-devel 提供用于创建自定义 SELinux 策略和策略模块的实用程序。
- selinux-policy-doc 提供说明如何使用各种服务配置 SELinux 的 man page。
- selinux-policy-mls 提供了 MLS(多级安全性)SELinux 策略。
- setroubleshoot-server 会在 SELinux 拒绝访问时,生成的拒绝消息转换为可以使用 sealert 实用程序(也在此软件包中查看)的详细描述。
- setools-console 提供 Tresys Technology SETools 发行版、用于分析和查询策略、审计日志监控和报告以及文件上下文管理的工具和库。 setools 软件包是 SETools 的元数据软件包。setools-gui 软件包提供了
apol和seaudit工具。setools-console 软件包提供sechecker,sediff,seinfo,sesearch, 和findcon命令行工具。请注意,只有启用了 Red Hat Network Optional 频道时,可以使用 setools 和 setools-gui 软件包。如需更多信息,请参阅 覆盖范围详情。 - mcstrans 将级别(如
s0-s0:c0.c1023)转换为更易于阅读的表单,如SystemLow-SystemHigh。 - policycoreutils-python 提供了 semanage,audit2allow,audit2why, 和 chcat 这样的实用程序,用于操作和管理 SELinux。
- policycoreutils-gui 提供 system-config-selinux,它是一个用于管理 SELinux 的图形实用程序。
