setsebool命令详解与SELinux管理

setsebool命令是用来修改SElinux策略内各项规则的布尔值。setsebool命令和getsebool命令是SELinux修改和查询布尔值的一套工具组。SELinux的策略与规则管理相关命令：seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面让咱们详细讲解一下setsebool命令的使用方法。

语法

setsebool [-P] 布尔值=[0|1]

选项

-P:直接将设置值写入配置文件，该设置数据未来会生效的。

实例

setsebool -P allow_ftpd_anon_write=1          #容许ftpd匿名用户可写
setsebool -P ftp_home_dir 1                   #容许用户访问本身的根目录
setsebool -P ftpd_is_daemon 1                 #容许daemon运行ftpd
setsebool -P ftpd_disable_trans 1             #关闭SELINUX对ftpd的保护
setsebool -P allow_httpd_anon_write=1         #容许httpd匿名用户可写
setsebool -P allow_httpd_sys__anon_write=1    #同上
setsebool -P httpd_enable_cgi 1               #httpd被设置容许cgi被执行
setsebool -P httpd_enable_homedirs 1          #容许访问用户的根目录
setsebool -P httpd_tty_comm 1                 #容许httpd控制终端
setsebool -P httpd_unified 0                  #httpd之间相互独立
setsebool -P httpd_builtin_ing 0              #同httpd环境同样运行
setsebool -P httpd_can_network_connect_db 1   #httpd能够链接到数据库(如链接mysql就必须设置)
setsebool -P httpd_can_network_connect 1      #httpd能够链接到网络(如链接redis就必须设置)
setsebool -P httpd_read_user_content 1        #开启用户文件的访问权限(如日志文件就必须设置)
setsebool -P httpd_suexec_disable_trans 1     #禁用suexec过分
setsebool -P httpd_disable_trans 1            #容许daemon用户启动httpd
setsebool -P httpd_can_sendmail 1             #容许httpd发送email
setsebool -P named_write_master_zones 1       #容许修改dns的主zone文件
setsebool -P named_disable_trans 1            #容许daemon启动named
setsebool -P nfs_export_all_ro 1              #nfs只读
setsebool -P nfs_export_all_rw 1              #nfs可读写
setsebool -P use_nfs_home_dirs 1              #容许本机访问远程nfs的根目录
setsebool -P allow_smbd_anon_write=1          #samba容许匿名用户可写
setsebool -P samba_enable_home_dirs 1         #容许根目录访问
setsebool -P use_samba_home_dirs 1            #容许本机访问远程samba根目录
setsebool -P smbd_disable_trans 1             #容许daemon启动samba
setsebool -P allow_rsync_anon_write=1         #容许匿名用户可写
setsebool -P rsync_disable_trans 1            #容许daemon启动rsync

 

其余命令

getsebool -a                                  #列出全部模块
getsebool -a | grep ftp                       #列出全部与ftp相关的模块

 

selinux默认不容许httpd访问“/home/用户名”目录（可是容许访问"/usr/local/用户名"这种目录），如今有两种解决方案：

方案一：（容许用户httpd访问其家目录）

setsebool -P httpd_read_user_content 1
setsebool -P httpd_enable_homedirs 1

方案二：（使用semanage命令修改安全上下文） 

semanage fcontext -a -t httpd_sys_content_t '/home/用户名(/.*)?'
#从新加载，刷新配置
restorecon -R -v /home/用户名
#查看安全上下文是否永久生效
semanage fcontext -l | grep /home/用户名
#查看安全上下文是否永久生效
ls -Zd /home/用户名

 

容许公共目录共享，如ftp,samba,web都访问共享目录

setsebool -P public_content_t 1 
setsebool -P public_content_rw_t 1

 

容许httpd链接mysql：

setsebool -P httpd_can_network_connect_db 1

 

容许httpd链接redis：

setsebool -P httpd_can_network_connect=1

 

容许使用ftpd，如vsftpd就须要用到：

setsebool -P ftpd_full_access 1
setsebool -P ftp_home_dir  1 #可能会提示“Boolean ftp_home_dir is not defined”那就不用管了

 

容许httpd发送email：

setsebool -P httpd_can_sendmail 1

 

其余命令

#查看selinux状态
sestatus

#查看getenforce状态
getenforce

#临时关闭selinux，设置SELinux 成为permissive模式
setenforce 0

#临时打开selinux，设置SELinux 成为enforcing模式
setenforce 1

#永久关闭SELinux
vi /etc/selinux/config
修改并设置SELINUX=disabled，再重启服务器。

 

 

使用semanage管理SELinux

#使用semanage管理SELinux，安装semanage
yum -y install semanage
若是提示：“No package semanage available.”则执行以下命令：
yum -y provides semanage
执行完以上命令成功后会提示：Filename : /usr/sbin/semanage
再执行：
yum -y install policycoreutils-python
执行以上命令成功以后就安装好了semanage

#查看全部端口规则
semanage port -l

#查看某个端口的规则
semanage port -l | grep 6379

#查看ssh端口规则
semanage port -l | grep ssh
#给ssh放开某个端口
semanage port -a -t ssh_port_t -p tcp 9998
#给ssh删除某个已放开的端口
semanage port -d -t ssh_port_t -p tcp 9998

#查看http端口规则
semanage port -l | grep http_port_t
#给httpd放开某个端口
semanage port -a -t http_port_t -p tcp 2201
#给httpd删除某个已放开的端口
semanage port -d -t http_port_t -p tcp 2201

#查看redis端口规则
semanage port -l | grep redis_port_t
#redis添加端口规则
semanage port -a -t redis_port_t -p tcp 2201
semanage port -d -t redis_port_t -p tcp 2201

#给httpd添加某个目录（如/websites）安全上下文
semanage fcontext -a -t httpd_sys_content_t "/websites(/.*)?"
#从新加载配置
restorecon -R -v /websites
#查看安全上下文是否永久生效
semanage fcontext -l | grep /websites
#查看安全上下文是否永久生效
ls -Zd /websites