如何使用semanage管理SELinux安全策略

这篇文章给大家分享的是有关如何使用semanage管理SELinux安全策略的内容。小编觉得挺实用的，因此分享给大家做个参考，一起跟随小编过来看看吧。

创新互联专注为客户提供全方位的互联网综合服务，包含不限于网站建设、成都做网站、卫滨网络推广、重庆小程序开发、卫滨网络营销、卫滨企业策划、卫滨品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等，从售前售中售后，我们都将竭诚为您服务，您的肯定，是我们最大的嘉奖；创新互联为所有大学生创业者提供卫滨建站搭建服务，24小时服务热线：18982081108，官方网址：www.cdcxhl.com

创新互联是由多位在大型网络公司、广告设计公司的优秀设计人员和策划人员组成的一个具有丰富经验的团队，其中包括网站策划、网页美工、网站程序员、网页设计师、平面广告设计师、网络营销人员及形象策划。承接：成都网站建设、网站建设、网站改版、网页设计制作、网站建设与维护、网络推广、数据库开发,以高性价比制作企业网站、行业门户平台等全方位的服务。

创新互联公司是一家专业的成都网站建设公司，我们专注网站建设、网站设计、网络营销、企业网站建设，卖链接，一元广告为企业客户提供一站式建站解决方案，能带给客户新的互联网理念。从网站结构的规划UI设计到用户体验提高，创新互联力求做到尽善尽美。

目前成都创新互联已为成百上千的企业提供了网站建设、域名、雅安服务器托管、网站运营、企业网站设计、武胜网站维护等服务，公司将坚持客户导向、应用为本的策略，正道将秉承"和谐、参与、激情"的文化，与客户和合作伙伴齐心协力一起成长，共同发展。

站在用户的角度思考问题，与客户深入沟通，找到梨林网站设计与梨林网站推广的解决方案，凭借多年的经验，让设计与互联网技术结合，创造个性化、用户体验好的作品，建站类型包括：做网站、成都做网站、企业官网、英文网站、手机端网站、网站推广、国际域名空间、雅安服务器托管、企业邮箱。业务覆盖梨林地区。

创新互联专业为企业提供白碱滩网站建设、白碱滩做网站、白碱滩网站设计、白碱滩网站制作等企业网站建设、网页设计与制作、白碱滩企业网站模板建站服务，10多年白碱滩做网站经验，不只是建网站，更提供有价值的思路和整体网络服务。

简介

Semanage是用于配置SELinux策略某些元素而无需修改或重新编译策略源的工具。 这包括将Linux用户名映射到SELinux用户身份以及对象（如网络端口，接口和主机）的安全上下文映射。

实验环境

Centos7.7操作系统

Selinux已经开启
开启方式：

[root@localhost ~]# sed -i '/^SELINUX/s/disabled/enforcing/g' /etc/selinux/config
# 然后重启一下操作系统
[root@localhost ~]# reboot
# 重启完成之后检查一下是否是enforcing模式
[root@localhost ~]# getenforce 
Enforcing

常用参数

• port: 管理定义的网络端口类型

• fcontext: 管理定义的文件上下文

• -l: 列出所有记录

• -a: 添加记录

• -m: 修改记录

• -d: 删除记录

• -t: 添加的类型

• -p: 指定添加的端口是tcp或udp协议的，port子 命令下使用

• -e: 目标路径参考原路径的上下文类型，fcontext子 命令下使用

列出所有定义的端口

使用semanage port命令列出所有端口

[root@localhost ~]# semanage port -l
SELinux Port Type              Proto    Port Number
afs3_callback_port_t           tcp      7001
afs3_callback_port_t           udp      7001
afs_bos_port_t                 udp      7007
afs_fs_port_t                  tcp      2040
afs_fs_port_t                  udp      7000, 7005
afs_ka_port_t                  udp      7004
afs_pt_port_t                  tcp      7002
afs_pt_port_t                  udp      7002
afs_vl_port_t                  udp      7003
agentx_port_t                  tcp      705
agentx_port_t                  udp      705
amanda_port_t                  tcp      10080-10083
amanda_port_t                  udp      10080-10082
…
…

列出指定的端口类型的端口

[root@localhost ~]# semanage port -l|grep -w http_port_t
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000

通过查询端口号来列出端口类型

[root@localhost ~]# semanage port -l|grep -w 53
DNS_port_t                     tcp      53
dns_port_t                     udp      53
[root@localhost ~]# semanage port -l|grep -w 20
ftp_data_port_t                tcp      20
[root@localhost ~]# semanage port -l|grep -w 21
ftp_port_t                     tcp      21, 989, 990

创建、添加、修改端口

通过下面的命令为http添加新端口

[root@localhost ~]# 
[root@localhost ~]# semanage port -a -t http_port_t -p tcp 8888
[root@localhost ~]#
# 查看新添加的端口
[root@localhost ~]# semanage port -l|grep -w 8888
http_port_t                    tcp      8888, 80, 81, 443, 488, 8008, 8009, 8443, 9000
# 也可以使用-C参数查看自定义的端口号
[root@localhost ~]# semanage port -lC
SELinux Port Type              Proto    Port Number
http_port_t                    tcp      8888

添加一个范围的端口

[root@localhost ~]# semanage port -a -t http_port_t -p tcp 11180-11188
[root@localhost ~]# 
[root@localhost ~]# semanage port -lC
SELinux Port Type              Proto    Port Number
http_port_t                    tcp      8888, 11180-11188

删除端口

[root@localhost ~]# semanage port -d -t http_port_t -p tcp 8888
[root@localhost ~]# 
[root@localhost ~]# semanage port -d -t http_port_t -p tcp 11180-11188
[root@localhost ~]# 
# 查看一下，已经没有自定义的端口了
[root@localhost ~]# semanage port -lC

修改安全上下文

为samba共享目录添加安全上下文

# 没添加安全上下文之前是default_t
[root@localhost ~]# ll -dZ /share/
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /share/
[root@localhost ~]# semanage fcontext -a -t samba_share_t '/share(/.*)?'
# 恢复文件默认的安全上下文
[root@localhost ~]# restorecon -Rv /share
restorecon reset /share context unconfined_u:object_r:default_t:s0->unconfined_u:object_r:samba_share_t:s0
# 查看一下文件夹已经变成samba_share_t了
[root@localhost ~]# ll -dZ /share
drwxr-xr-x. root root unconfined_u:object_r:samba_share_t:s0 /share

为nfs共享目录添加读写

[root@localhost ~]# ll -dZ /nfsshare/
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /nfsshare/
[root@localhost ~]# 
[root@localhost ~]# semanage fcontext -a -t public_content_rw_t '/nfsshare(/.*)?'
 [root@localhost ~]# restorecon -Rv /nfsshare
[root@localhost ~]# ll -dZ /nfsshare/
drwxr-xr-x. root root unconfined_u:object_r:public_content_rw_t:s0 /nfsshare/

总结

本文讲述了添加、修改和删除端口，修改安全上下文。如果你的系统有安装桌面，可以安装图形化管理软件 policycoreutils-gui来进行管理。

[root@localhost ~]# yum -y install policycoreutils-gui
# system-config-selinux执行该命令打开图形化管理界面
[root@localhost ~]# system-config-selinux

感谢各位的阅读！关于“如何使用semanage管理SELinux安全策略”这篇文章就分享到这里了，希望以上内容可以对大家有一定的帮助，让大家可以学到更多知识，如果觉得文章不错，可以把它分享出去让更多的人看到吧！