
.显示 SELinux 文件上下文



• 什么确定文件的初始 SELinux 上下文 ? 通常是父目录。将父目录的上下文指定给新创建的文件。这对 vimcp 和 touch 等

命令其作用 , 但是 , 如果文件是在其他位置创建的并且保留了权限 ( 与 mv 或 cp -a 一样 ) 则还将保留 SELinux 上下文

• 许多处理文件的命令具有一个用于显示或设置 SELinux 上下文的选项 ( 通常是 -Z ) 。例如 , ps 、 ls 、 cp 和 mkdir 都使用 -Z 选项显示或设置 SELinux 上下文

• 显示上下文

– ps axZ

– ps -ZC

– ls -Z



.修改 selinux 安全上下文

• chcon -t

– 一次性定制安全上下文,执行 restorecon 刷新后还原

• semanage fcontext

– 永久更改文件的上下文



.semanage 命令



• restorecon 是 policycoreutil 软件包的一部分

• semanage 是 policycoreutil-python 软件包的一部分

• semanage fcontext 可用与显示或修改 restorrecon 用来设置默认文件上下文的规则

• semanage fcontext 使用扩展正则表达式来指定路径和文件名。 fcontext 规则中最常用的扩展正则表达式是(/.*)?, 表示随意地匹配 / 后跟任何数量的字符

• semanage fcontext 将递归地与在表达式前面列出的目录以及该目录中的所有内容相匹配




[[email protected] ~]# mkdir /virtual

[[email protected] ~]# touch /virtual/index.html

[[email protected] ~]# ls -Zd /virtual/

drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /virtual/

[[email protected] ~]# ls -Z /virtual/

-rw-r--r--. root root unconfined_u:object_r:default_t:s0 index.html

[[email protected] ~]# semanage fcontext -a -f "" -t httpd_sys_content_t


[[email protected] ~]# restorecon -RFvv /virtual/

restorecon reset /virtual context system_u:object_r:default_t:s0-


restorecon reset /virtual/index.html context system_u:object_r:default_t:s0-


[[email protected] ~]# ls -Zd /virtual/

drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /virtual/

[[email protected] ~]# ls -Z /virtual/

-rw-r--r--. root root system_u:object_r:httpd_sys_content_t:s0 index.html



.管理 SELinux 布尔值

• SELinux 布尔值是更改 SELinux 策略行为的开关。

  SELinux 布尔值是可以启用或禁用的规则。安全管理员可以使用 SELinux 布尔值来调整策略 , 以有选择地进行调整

 • 许多软件包都具有 man page *_selinux(8), 其中详细说明了所使用的一些布尔值 ; man -k ‘_selinux’ 可以轻松地找到这些手册

• getsebool 用于显示布尔值 , setsebool 用于修改布尔值

• setsebool -P 修改 SELinux 策略 , 以永久保留修改。

  semanage boolean -l 将显示布尔值是否永久




[[email protected] ~]# getsebool -a

abrt_anon_write --> off


[[email protected] ~]# getsebool httpd_enable_homedirs

httpd_enable_homedirs --> off

[[email protected] ~]# setsebool httpd_enable_homedirs on

[[email protected] ~]# semanage boolean -l |grep httpd_enable_homedirs


-> off Allow httpd to read home directories

[[email protected] ~]# getsebool httpd_enable_homedirs

httpd_enable_homedirs --> on

[[email protected] ~]# setsebool -P httpd_enable_homedirs on

[[email protected] ~]# semanage boolean -l |grep httpd_enable_homedirs


-> on

Allow httpd to read home directories



.监控 SELinux 冲突



• 必须安装 setroubleshoot-server 软件包 , 才能将SELinux 消息发送至 /var/log/messages

• etroubleshoot-server 侦听/var/log/audit/audit.log 中的审核信息并将简短摘要发送至 /var/log/messages

• 摘要包括 SELinux 冲突的唯一标识符 ( UUIDs ),可用于收集更多信息。 Sealert -l UUID 用于生成特定事件的报告。 Sealert -a  /var/log/audit/audit.log 用于在该文件中生成所有事件的报告





[[email protected] ~]# echo www.westos.org /root/file1

[[email protected] ~]# mv /root/file1 /var/www/html/

[[email protected] ~]# service httpd start

[[email protected] ~]# elinks -dump http://localhost/file1


You don't have permission to access /file1 on this server.

[[email protected] ~]# tail -1 /var/log/audit/audit.log


type=AVC msg=audit(1312818090.800:25721): avc: denied { getattr } for

pid=29653 comm="httpd"

Path="/var/www/html/file1" dev=dm-1 ino=54309


tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file


[[email protected] ~]# tail /var/log/messages



[[email protected] ~]# tail /var/log/messages


Aug 8 23:41:30 demo setroubleshoot: SELinux is preventing /usr/sbin/httpd

"getattr" access to /var/www/html/file1.

For complete SELinux messages. run sealert -l bbb10235-7683-4387-977d-


[[email protected] ~]# sealert -l bbb10235-7683-4387-977d-a34c141bba86


SELinux is preventing /usr/sbin/httpd "getattr" access to /var/www/html/file1.

Detailed Description:

... ...

You can restore the default system context to this file by executing the

restorecon command. restorecon

'/var/www/html/file1', if this file is a directory, you can recursively restore using

restorecon -R


Fix Command:

/sbin/restorecon '/var/www/html/file1'




[ 执行事件报告中给出的解决命令 :

[[email protected] ~]# restorecon /var/www/html/file1

[[email protected] ~]# elinks -dump http://localhost/file1