Linux系统管理基础项目教程课件 V8-6 管理SELinux上下文和端口标签

Linux操作系统管理SELinux上下文和端口标签管理SELinux上下文和端口标签1．查看文件和目录的安全上下文

使用ls命令和-Z参数查看文件和目录的安全上下文。[root@server～]#mkdir/virtual[root@server～]#ls-Zd/virtual/unconfined_u:object_r:default_t:s0/virtual/[root@server～]#touch/virtual/index.html[root@server～]#ls-Z/virtual/unconfined_u:object_r:default_t:s0index.html[root@server～]#semanagefcontext-a-thttpd_sys_content_t'/virtual(/.*)?'[root@server～]#restorecon-vvFR/virtual/Relabeled/virtual/index.htmlfromunconfined_u:object_r:default_t:s0tosystem_u:object_r:httpd_sys_content_t:s0[root@server～]#ls-Z/virtual/system_u:object_r:httpd_sys_content_t:s0index.html[root@server～]#ls-Zl/virtual/-rw-r--r--.1rootrootsystem_u:object_r:httpd_sys_content_t:s00Nov2400:07index.html2．更改文件或目录的SELinux上下文

semanage命令用来查询与修改SELinux默认目录的安全上下文。restorecon命令用来恢复SELinux文件属性，即恢复文件的安全上下文。[root@localhost～]#ls-Z#使用-Z参数查看文件和目录的安全上下文-rw-------．rootrootsystem_u：object_r：admin_home_t：s0anaconda-ks.cfg-rw-r--r--．rootrootsystem_u：object_r：admin_home_t：s0install.log

当管理员决定在非标准端口上运行服务时，SELinux端口标签很有可能需要进行更新。在某些情况下，targeted策略已通过可以使用的类型标记了端口。例如，由于端口8080/TCP通常用于Web应用程序，因此此端口已使用http_port_t（Web服务器的默认端口类型）进行标记。3．查看端口标签要获取所有当前端口标签的分配情况，可以使用semanage命令的port子命令，-l选项列出了当前系统中所有端口的标签分配情况。[root@server～]#semanageport-a-tport_label-ptcp|udpPORTNUMBER4．管理端口标签可以使用semanage命令来分配新端口标签、删除端口标签或修改现有端口标签。下面使用semanage命令将指定的端口号与特定的SELinux安全上下文标签关联起来。[root@server～]#semanageport-lport_label_ttcp|udpcomma，separated，list，of，ports管理SELinux上下文和端口标签（1）添加端口标签绑定，允许HTTP服务监听端口8090/TCP。[root@server～]#semanageport-a-thttp_port_t-ptcp8090[root@server～]#semanageport-l|grephttp（2）删除端口标签，删除端口8090/TCP与http_port_t的绑定。[root@server～]#semanageport-d-thttp_port_t-ptcp8090（3）修改端口绑定，修改端口8090/TCP与nfs_port_t的绑定。[root@server～]#semanageport-m-tnfs_port_t-ptcp8090[root@server～]#semanageport