标签: selinux

我在 Linux 下的目录中的一些文件在.权限列表的末尾有一个。

• 结尾的点是什么意思-rw-r--r--？
• 你如何设置它chmod？

I'm studying the basic workings of SELinux and would find it useful to trigger a denial. My test machine is running CentOS 7, it's a basic server install without any extra services, and getenforce states 'Enforcing'. So I felt sure that making /root world-readable, and attempting to read files from there as an unprivileged user would do the trick. But no luck! Can anyone suggest some quick tests? Trying to access paths, or open ports, etc.

Ideally I'm looking for …

嗨，我有一些文件，我想从中删除 SELinux 上下文或 ACL（在使用时分别用“ .”或“ +”表示ls -alZ）。

我没有太多时间阅读关于如何使用chcon等的内容，所以我只想快速知道如何禁用它们。

另外，如果有人知道 SELinux/ACL Cheat-Sheet，那就太棒了。

这是一个屏幕截图：

注意权限符号后面的点：drwxr-xr-x.等。

有没有办法通过 grub 传递内核选项来禁用网络？最好我只能禁用 2 个接口，但禁用所有网络也可以。

我的用例是我在 SELinux 操作系统上工作，并希望在系统处于许可模式时禁用网络访问。

编辑：我使用的是 CentOS 5.4

我正在尝试更改上传目录的 selinux 上下文以启用匿名上传。

这是目录路径 /var/ftp/upload

这是默认上下文

[root@server ftp]# ls -Z 上传
drwxr-xr-x。root root unconfined_u:object_r:public_content_t:s0 上传

我试过这个命令来改变目录的类型

[root@server ftp]# semanage fcontext -a -t public_content_rw_t 上传

[root@server ftp]# restorecon -v 上传

它没有改变，这里有什么错误？

[root@server ftp]# ls -Z pub
drwxr-xr-x。root root unconfined_u:object_r:public_content_t:s0 上传

感谢维基百科和其他人，我们可以对SELinux有一个模糊的概念。

我知道它提供了更精确地处理权限的方法，但我真的不知道如何。

问题是：如果我决定将 Linux 系统更改为 SELinux 系统，这对我这个管理员意味着什么？我想它不会像经典的 Linux 服务器那样管理。

简而言之：从管理的角度来看，SELinux 的主要影响是什么？

我一直在尝试使用 OpenVPN 连接到我的工作网络。通过命令行使用它可以正常工作：

openvpn user.conf

不过，我没有费心用 DNS 正确设置它，而且看起来有点痛苦。我更愿意像其他 VPN 一样通过网络管理器使用它。问题是这样的：我存储我的user.crt，随着ca.crt和user.key中~/.openvpn/（这似乎是一个合理的地方，以保持这样的事情。当我尝试通过网络管理器进行连接，它只是告诉我，连接失败的检查。/var/logs/messages揭示了原因：SELinux的正在某处执行一些阻止openvpn读取我的证书的策略。我尝试按照 SELinux 故障排除程序提供的所有说明进行操作，但无济于事。

然后，我确实愚蠢地从我的 SELinux 配置中删除了 openvpn 策略（使用 SELinux 管理 gui，可从 fedora 存储库中获得）。各种各样的地狱爆发了（它甚至不再让它绑定一个命名端口）。

问题非常紧迫，所以我最终只是为会话禁用了 SELinux（一切正常）。但是我必须在某个时候再次打开它，所以我的问题是：

如何首先在 SELinux 中恢复 openvpn 的原始策略文件，然后再授予 openvpn 访问我的主目录中的证书的权限？

我也尝试过 SE Policy Generator 工具，但没有明显效果（它卡在我给策略命名的对话中）。

在 Fedora 18 机器上，我作为普通用户在安装过程中创建了以下 SELinux 上下文：

$ sestatus
SELinux status:                 enabled
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed

和

$ id -Z
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

我想使用受限的 selinux 角色运行一个程序user_r，而不是当前的角色unconfined_r，因此我使用受限的 SELinux 用户创建一个新用户user_r：

# useradd -MN -Z user_u johndoe
# echo 'fubar' | passwd johndoe --stdin

现在，我打开一个新的 tty 并johndoe使用登录agetty。它抱怨/home/johndoe不存在，但本质上，它让我登录。SELinux 上下文：

$ id -Z
user_u:user_r:user_t:s0

user_u:user_r:user_t是完美的，也是我想要的。但我想在已经作为unconfined_u而不是作为新登录运行的脚本中实现这一点。我尝试过 …

我安装了 Ubuntu 15.04，然后通过执行sudo apt-get install selinux. 然后我做了setsebool -P httpd_can_network_connect 0并得到了一个“布尔 httpd_can_network_connect 未定义”错误。

我做了getsebool -a | grep http，也没有得到任何结果。

因此，我似乎无法将其作为一个选项，更不用说在 Ubuntu 上启用它了。关于我能做些什么来让它工作的任何想法？

我试图改变它，但它不让我这么做。

# ls -dZ /usr/local/spamassassin
drwx------. spam spam system_u:object_r:usr_t:s0       /usr/local/spamassassin

# chcon -v --type=spamd_t /usr/local/spamassassin
changing security context of `/usr/local/spamassassin'
chcon: failed to change context of `/usr/local/spamassassin' to `system_u:object_r:spamd_t:s0': Permission denied

type=AVC msg=audit(1483587389.449:354941): avc:  denied  { append } for  pid=31588 comm="spamd" name="spamfilter.log" dev=xvde ino=24109 scontext=unconfined_u:system_r:spamd_t:s0 tcontext=unconfined_u:object_r:usr_t:s0 tclass=file

CentOS 版本 6.8（最终版）