После завершения этого раздела вы сможете:
включить и отключить правила политики SELinux с помощью команды setsebool;
управлять значениями переключателей SELinux с помощью команды semanage boolean -l;
находить полезные сведения о переключателях SELinux на man-страницах, которые оканчиваются на _selinux.
_selinux
Переключатели SELinux — это параметры, которые могут менять поведение политики SELinux. Переключатели SELinux представляют собой правила, которые можно включать и выключать. Администраторы службы безопасности могут использовать их для корректировки политик.
На man-страницах SELinux, поставляемых в пакете selinux-policy-doc, описывается назначение доступных переключателей. Посмотреть список этих man-страниц можно с помощью команды man -k '_selinux'.
Среди полезных команд для управления переключателями SELinux можно отметить getsebool, которая отображает список переключателей и их состояние, и setsebool, которая изменяет переключатели. Команда setsebool -P изменяет политику SELinux, чтобы изменения сохранялись на постоянной основе. Команда semanage boolean -l показывает, является ли текущее значение переключателя постоянным, а также его краткое описание.
Непривилегированные пользователи могут выполнить команду getsebool, но выполнять команды semanage boolean -l и setsebool -P может только привилегированный пользователь.
[user@host ~]$ getsebool -a abrt_anon_write --> off abrt_handle_event --> off abrt_upload_watch_anon_write --> on antivirus_can_scan_system --> off antivirus_use_jit --> off ...output omitted... [user@host ~]$ getsebool httpd_enable_homedirs httpd_enable_homedirs --> off
[user@host ~]$
getsebool -a
getsebool httpd_enable_homedirs
[user@host ~]$ setsebool httpd_enable_homedirs on Could not change active booleans. Please try as root: Permission denied [user@host ~]$ sudo setsebool httpd_enable_homedirs on [user@host ~]$ sudo semanage boolean -l | grep httpd_enable_homedirs httpd_enable_homedirs (on , off) Allow httpd to enable homedirs [user@host ~]$ getsebool httpd_enable_homedirs httpd_enable_homedirs --> on
setsebool httpd_enable_homedirs on
sudo setsebool httpd_enable_homedirs on
sudo semanage boolean -l | grep httpd_enable_homedirs
on , off
Опция -P записывает все ожидающие значения в политику, сохраняя их после перезагрузки системы. В следующем примере обратите внимание на значения в скобках: теперь оба значения ― on.
-P
on
[user@host ~]$ setsebool -P httpd_enable_homedirs on [user@host ~]$ sudo semanage boolean -l | grep httpd_enable_homedirs httpd_enable_homedirs (on , on) Allow httpd to enable homedirs
setsebool -P httpd_enable_homedirs on
on , on
Для отображения списка переключателей, текущее состояние которых отличается от состояния по умолчанию, используйте команду semanage boolean -l -C.
[user@host ~]$ sudo semanage boolean -l -C SELinux boolean State Default Description cron_can_relabel (off , on) Allow cron to can relabel
sudo semanage boolean -l -C
Man-страницы booleans(8), getsebool(8), setsebool(8), semanage(8) и semanage-boolean(8)