Eine bestimmte SELinux-Richtlinie kann angepasst werden, indem ein Satz von Richtlinien-Booleschen Werten aktiviert oder deaktiviert wird. Boolesche Werte ermöglichen das Ändern von Teilen der SELinux-Richtlinie zur Laufzeit, ohne Kenntnis des Schreibens der SELinux-Richtlinie. Dies ermöglicht Änderungen ohne Neuladen oder Neukompilieren der SELinux-Richtlinie.
Sie können diese Liste über die Befehlszeile anzeigen, indem Sie den folgenden Befehl verwenden:
# semanage boolean -l SELinux boolean State Default Description privoxy_connect_any (on , on) Allow privoxy to connect any smartmon_3ware (off , off) Allow smartmon to 3ware mpd_enable_homedirs (off , off) Allow mpd to enable homedirs xdm_sysadm_login (off , off) Allow xdm to sysadm login xen_use_nfs (off , off) Allow xen to use nfs ....
In der Beispielliste ist die Datei xen_use_nfs Boolesch ist aus , was verhindert, dass xen nfs verwendet.
getsebool- und setsebool-Dienstprogramme
Boolesche Werte anzeigen
Sie können auch den Befehl getsebool verwenden, um boolesche Werte aufzulisten. Dieser Befehl zeigt Status, aber keine Beschreibungen an. So zeigen Sie alle booleschen Werte und ihren Status an:
# getsebool -a abrt_anon_write --> off abrt_handle_event --> off abrt_upload_watch_anon_write --> on antivirus_can_scan_system --> off antivirus_use_jit --> off ....
Schließen Sie den booleschen Namen als Argument ein, um den Status eines bestimmten booleschen Werts anzuzeigen. Es sind auch mehrere boolesche Argumente zulässig:
# getsebool xen_use_nfs allow_ftpd_use_nfs mozilla_read_content xen_use_nfs --> off ftpd_use_nfs --> off mozilla_read_content --> off
Boolesche Werte setzen
Verwenden Sie den Befehl setsebool, um boolesche Werte über die Befehlszeile zu konfigurieren. Die Syntax lautet:
# setsebool [Boolean] on|off
Beispielsweise zeigt die folgende Befehlsfolge den aktuellen Status eines booleschen Werts an, ermöglicht ihm dann, dem syslogd-Daemon das Senden von E-Mails zu erlauben, und zeigt dann den Status erneut an:
# getsebool xen_use_nfs xen_use_nfs --> off
# setsebool xen_use_nfs on
# getsebool xen_use_nfs xen_use_nfs --> on
Um die Änderung über Neustarts hinweg dauerhaft zu machen, verwenden Sie die Option –P:
# setsebool –P xen_use_nfs on
/sys/fs/selinux-Verzeichnis
Sie können auch den Wert von Booleans im Verzeichnis /sys/fs/selinux anzeigen und ändern. Die booleschen Dateien werden im Verzeichnis /sys/fs/selinux/booleans gespeichert:
# ls /sys/fs/selinux/booleans abrt_anon_write mpd_use_cifs abrt_handle_event mpd_use_nfs abrt_upload_watch_anon_write mplayer_execstack antivirus_can_scan_system mysql_connect_any ...
So zeigen Sie den Wert eines bestimmten booleschen Werts an:
# cat /sys/fs/selinux/booleans/xen_use_nfs 1 1
Ein Wert von 1 zeigt an, dass der boolesche Wert aktiviert ist, während 0 deaktiviert ist. Die erste Zahl gibt den aktuellen Wert des booleschen Werts an. Die zweite Zahl repräsentiert den ausstehenden Wert des booleschen Werts. So schalten Sie den Booleschen Wert ftpd_anon_write ein:
# echo 1 > /sys/fs/selinux/booleans/ftpd_anon_write
Sehen Sie sich den Inhalt der Datei an:
# cat /sys/fs/selinux/booleans/ftpd_anon_write 0 1
So übernehmen Sie den neuen Wert:
# echo 1 > /sys/fs/selinux/commit_pending_bools
Der Wert hat sich jetzt geändert:
# cat /sys/fs/selinux/booleans/ftpd_anon_write 1 1
# getsebool ftpd_anon_write ftpd_anon_write --> onSELinux-Richtlinien in Linux verstehen
Was sind SELinux-Modi und wie werden sie eingestellt