在安装Oracle的时候.先要检查SELinux是否已经启用.
[root@localhost ~]# sestatus
SELinux status: disabled 常用命令如下:
下面列出几个常用的: 1、sestatus工具 查询系统的selinux 目前的状态 例如:root@monitor:~# sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: permissive Mode from config file: permissive Policy version: 21 Policy from config file: targeted 2、selinuxenabled工具 检查系统selinux是否开启,是通过返回值进行判断selinux是否已经启动,0:表示已经启动selinux;1:表示已经关闭selinux 例如:selinuxenabled ; echo?,返回的结果为:1 3、setenforce工具 功能:设定切换selinux的运行状态(0或者1),前提是开启了selinux,同时这种切换只对当前有效,如果重新启动的话,就没有效了(注意:如果关闭了selinux,那么就必须配置/etc/selinux/config文件) 语法:setenforce [ Enforcing | Permissive | 1 | 0 ] 说明如下: enforcing 或者1,表示开启强制模式 permissive 或者0,表示开启警告但是无限制模式 例如:下面这个例子 root@monitor:~# sestatus | grep -i mod Current mode: permissive Mode from config file: permissive root@monitor:~# setenforce 1 root@monitor:~# sestatus | grep -i mod Current mode: enforcing Mode from config file: permissive 4、getsebool与setsebool工具 说明:SELinux规范了许多boolean数值清单档案,提供开启或关闭功能存取项目,而这些值都存放在/selinux/booleans/目录内相关档案,这些档案里的值只有两种:1(启用)或 0(关闭) 1)getsebool 说明:列出所有selinux bool数值清单列表与内容 使用方式:getsebool [ -a ] 例如以下范例: #getsebool ftpd_disable_trans ftpd_disable_trans --> off #getsebool -a NetworkManager_disable_trans --> off allow_cvs_read_shadow --> off allow_daemons_dump_core --> on allow_daemons_use_tty --> off allow_execheap --> off allow_execmem --> on allow_execmod --> off .......... 2)setsebool 说明:设定selinux bool数值清单列表与内容 使用方式:setsebool [ -P ] boolean value | bool1=val1 bool2=val2 bool3=val3...... 参数配置: -P表示设定该项目永久套用 使用范例: setsebool ftpd_disable_trans=on ( on 或者 1 ) setsebool -P ftpd_disable_trans=off ( off 或者 0 ) 5、chcon 说明:变更档案目录的security context 使用方式: chcon [OPTION]... CONTEXT FILE... chcon [OPTION]... --reference=RFILE FILE... 参数如下: -u USER:set user USER in the target security context -r ROLE:set role ROLE in the target security context -t TYPE:set type TYPE in the target security context 范例: chcon -t var_t /etc/vsftpd/vsftpd.conf chcon --reference=/var/www/html index.html 注意事项:若是变更于目录上,后续于该目录内建立的档案目录会套用目录本身type设定 6、restorecon 说明:恢复档案目录的预设的security Context 规格来源:/etc/selinux/<POLICY>/contexts/files/目录内的file_contexts与file_contexts.local 常用参数如下: -r | -R:包含子目录与其下档案目录 -F:恢復使用预设的項目(就算是檔案符合存取规范) -v:显示执行过程 使用方式:restorecon [FRrv] [-e excludedir ] pathname... ] 使用范例如下: restorecon /etc/ntp.conf restorecon -v /etc/ntp.conf restorecon -v -F /etc/ntp.conf 手动配置新增恢复规则 1)档案名称 /etc/selinux/<POLICYTYPE>/contexts/files/file_contexts.local 2)新增配置范例 /var/ftp(/.*)? system_u:object_r:public_content_t 3)注意 可以使用semanage程式来维护会比较方便 7、fixfiles 说明:修正档案目录的预设的security Context,依据/etc/selinux/<POLICY>/contexts/files/内相关档案修正 使用方式: fixfiles { check | restore|[-F] relabel } [[dir] ... ] fixfiles -R rpmpackage[,rpmpackage...] { check | restore } 参数: -R:使用指定的rpm 套件所提供的檔案清單 使用范例: fixfiles check /etc fixfiles restore /etc fixfiles -F relabel / fixfiles -R setup check 8、audit2why 说明:检视SELinux audit讯息内容,提供检视/var/log/audit/audit.log内的记录资讯说明 使用范例:audit2why < /var/log/audit/audit.log 注意:需要搭配启动auditd服务程式一起使用 9、sealert 说明:SELinux 讯息诊断用户端程序 参数如下: -H, --html_output:使用网页格式输出(搭配 -a or -l 使用) -l, --lookupid ID:检视指定ID的警示讯息 使用范例: sealert -l xxxxx-xxxxx-xxxx sealert -H -l xxxxx-xxxxx-xxxx > output.html 注意:需要搭配setroubleshoot服务一起使用 setroubleshoot服务启动后,会依据audit服务提供的资讯给予适当问题诊断,然后输出于/var/log/messages,该档案内会有相关输出资讯提供除错检视 10、semanage 说明:selinux policy维护工具 使用方式:semanage { login | user | port | interface | fcontext | translation} -l [-n] 使用范例: semanage login -l semanage user -l semanage port -l semanage port -a -t http_port_t -P tcp 81 semanage fcontext -a -t httpd_sys_Context_t "/home/users/(.+)/public_html(/.*)?“ 11、secon 说明:检视程式、档案与使用者等相关SELinux Context 使用方式: secon [-hVurtscmPRfLp] [CONTEXT] secon [--file] FILE | [--link] FILE | [--pid] PID 参数: -u, --user:show the user of the security context -r, --role:show the role of the security context -t, --type:show the type of the security context -f, --file FILE:gets the context from the specified file FILE -p, --pid PID:gets the context from the specified process PID 使用范例: secon -u secon -r secon -t secon --file /etc/passwd secon --pid <pid> (责任编辑:IT) |