配置selinux man页面
SELinux Man Pages for安装的selinux策略未在Rhel 7和CentOS 7上安装。
我们必须安装必要的工具并自己生成man 的页面。
在本教程中,我将带我们完成配置SELinux环境所需的所有步骤,并添加Man页面,以便于参考和压力免费Selinux故障排除。
对于新安装的CentOS 7,我们可以看看:新安装CentOS 7.x最小化后要做的最佳景点
启用selinux.
如果要检查SELInux是否正在运行,请在终端上执行下面的命令
[Hyman@theitroad ~]# getenforce Enforcing
从上面的输出中,我们可以看到"我的SELinux正在运行并强制执行所有策略规则"。
我通过编辑/etc/selinux/config永久安装selinux
[Hyman@theitroad ~]# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of three two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted
如果要永久启用SELinux而无需手动编辑文件,只需将终端"窗口打开为root用户和类型命令如下所示:
[Hyman@theitroad ~]# sed -i 's/SELINUX=disabled/SELINUX=enforcing/' /etc/selinux/config
我们可以通过在下面执行以下命令启用下一个启动时自动重新标记:
[Hyman@theitroad ~]# touch /.autorelabel
然后重新启动系统以使更改有效。
[Hyman@theitroad ~]# reboot
在成功重新启动后,检查Sellinux的状态,它应该以强制模式运行
[Hyman@theitroad ~]# getenforce Enforcing
安装必要的selinux包
由于SELinux现在能够强制执行策略规则,因此允许安装软件包,帮助我们有效地管理SELinux。
安装setroubleshoot-server包。
- 此包提供帮助诊断SELinux问题的工具。
- 当生成AVC消息时,可以生成警报,以提供有关问题的信息,并帮助跟踪其分辨率 - 执行下面的命令
[Hyman@theitroad ~]# yum install setroubleshoot-server -y
"policycoreutils-python`包包含用于管理SELinux环境的管理工具。
- 如果我们安装了setRoubleshoot-Server,它将PolicyCoreUtils-Python安装为依赖项,因此如果安装SetRoubleshoot-Server包,则可以跳过此步骤。
[Hyman@theitroad ~]# yum install policycoreutils-python
安装的另一个包是"policycoreutils-devel`
- PolicyCoreUtils-Devel软件包包含用于在Selinux环境中开发策略的管理工具。
- 此包有助于我们生成SELinux Man页面 - 我们可以看一下它提供的SEPOLICY`实际上是SELinux Man页面生成由PolicyCoreutils-Devel包提供的实用程序。
[Hyman@theitroad ~]# yum provides */sepolicy [Hyman@theitroad ~]# yum install policycoreutils-devel
现在我们拥有所有必需的软件包。
让; s生成selinuxman 页面。
生成Selinux人页面
命令sepolicy manpage用于基于已安装的SELinux策略生成一个人页面。
可用的常见选项包括:
-a,--all为所有域名-d,-domain生成手册页,为指定域生成一个手册页。
(支持多个命令)-h,-help显示帮助消息-p,-path指定存储创建的人页面的目录。
(默认为/tmp)-r,--root指定备用根目录以生成man页面。
(默认为/)-w,-web为指定域的其他HTML人页面生成。通过打字来生成SELinux Man页面:
[Hyman@theitroad ~]# sepolicy manpage -a -p /usr/share/man/man8/
从上面使用的选项中,我们告诉Sepolicy Managage为所有域名的人网页和存储人类页面的路径是/usr/share/man/man8 /
生成人的页面后,现在是时候更新手册页数据库,以便我们可以利用Sepolicy Manpage命令生成的男页面。
我们现在可以更新Man Pages数据库。
我们将使用命令MENDB,它用于初始化或者手动更新通常由人类维护的索引数据库缓存
[Hyman@theitroad ~]# mandb
如果我们现在正在搜索所有Selinux Man页面,我们将获得一个长名单,通过执行以下命令来尝试自己:
[Hyman@theitroad ~]# man -k _selinux
要删除搜索一点点,请将输出管制到Grep命令,查看以下示例以下man -k _selinux | grep httpd>搜索selinux httpd相关的man 页面man -k _selinux | EGREP'Samba | SMB'>搜索Samba相关的Selinuxman 页面MAN -K _SLINUX | EGREP * NFS>要搜索NFS守护程序相关的SELinux人页面
我们已经看到了使用Grep我们想要的Selinux手册页了多么容易。
[Hyman@theitroad ~]# man -k _selinux | grep httpd apache_selinux (8) - Security Enhanced Linux Policy for the httpd processes httpd_helper_selinux (8) - Security Enhanced Linux Policy for the httpd_helper processes httpd_passwd_selinux (8) - Security Enhanced Linux Policy for the httpd_passwd processes httpd_php_selinux (8) - Security Enhanced Linux Policy for the httpd_php processes httpd_rotatelogs_selinux (8) - Security Enhanced Linux Policy for the httpd_rotatelogs processes httpd_selinux (8) - Security Enhanced Linux Policy for the httpd processes httpd_suexec_selinux (8) - Security Enhanced Linux Policy for the httpd_suexec processes httpd_sys_script_selinux (8) - Security Enhanced Linux Policy for the httpd_sys_script processes httpd_unconfined_script_selinux (8) - Security Enhanced Linux Policy for the httpd_unconfined_script processes httpd_user_script_selinux (8) - Security Enhanced Linux Policy for the httpd_user_script processes
