目标

  使用setsebool激活/停用selinux策略规则。
  使用semanage boolean -l 命令来管理selinux布尔值的持久值。
  查阅以_selinux结尾的man page,寻找有关selinux布尔值的有用信息。

名词解释

• selinux布尔值

  selinux布尔值是可更改selinux策略行为的参数。selinux布尔值是可以启用或禁用的规则。安全管理员可以使用selinux布尔值来有选择的调整策略。

  selinux-policy-doc软件包附带的selinux man page中介绍了可用布尔值的用途。使用man -k ‘_selinux’命令可用列出这些man page.

  用于管理selinux布尔值的命令包括：getsebool列出布尔值及状态；setsebool修改布尔值；setsebool -P更改selinux策略以使修改持久保留。semanage boolean -l将报告布尔值是否为持久值，并提供该布尔值的简短描述。

  非特权用户可用运行getsebool命令，但只有超级用户才能运行semanage boolean -l 将报告布尔值是否为持久值，并提供该布尔值的简短描述。

实操演示

• 查看对应selinux策略对应的布尔值

[root@sinfotek ~]# semanage boolean -l | grep ftp
ftpd_use_cifs                  (关    ,    关)  Allow ftpd to use cifs
ftpd_connect_db                (关    ,    关)  Allow ftpd to connect db
ftpd_use_fusefs                (关    ,    关)  Allow ftpd to use fusefs
ftpd_full_access               (关    ,    关)  Allow ftpd to full access
tftp_anon_write                (关    ,    关)  Allow tftp to anon write
tftp_home_dir                  (关    ,    关)  Allow tftp to home dir
httpd_can_connect_ftp          (关    ,    关)  Allow httpd to can connect ftp
ftpd_use_passive_mode          (关    ,    关)  Allow ftpd to use passive mode
ftpd_use_nfs                   (关    ,    关)  Allow ftpd to use nfs
ftpd_connect_all_unreserved    (关    ,    关)  Allow ftpd to connect all unreserved
ftpd_anon_write                (关    ,    关)  Allow ftpd to anon write
httpd_enable_ftp_server        (关    ,    关)  Allow httpd to enable ftp server
##使用semanage boolean查询对应ftp服务的布尔值

• 启用selinux中对应的ftp策略

[root@sinfotek ~]# setsebool ftpd_anon_write on
[root@sinfotek ~]# semanage boolean -l | grep ftp
ftpd_use_cifs                  (关    ,    关)  Allow ftpd to use cifs
ftpd_connect_db                (关    ,    关)  Allow ftpd to connect db
ftpd_use_fusefs                (关    ,    关)  Allow ftpd to use fusefs
ftpd_full_access               (关    ,    关)  Allow ftpd to full access
tftp_anon_write                (关    ,    关)  Allow tftp to anon write
tftp_home_dir                  (关    ,    关)  Allow tftp to home dir
httpd_can_connect_ftp          (关    ,    关)  Allow httpd to can connect ftp
ftpd_use_passive_mode          (关    ,    关)  Allow ftpd to use passive mode
ftpd_use_nfs                   (关    ,    关)  Allow ftpd to use nfs
ftpd_connect_all_unreserved    (关    ,    关)  Allow ftpd to connect all unreserved
ftpd_anon_write                (开    ,    关)  Allow ftpd to anon write
httpd_enable_ftp_server        (关    ,    关)  Allow httpd to enable ftp server
##使用setsebool 命令修改布尔值，选项大写P是表示永久修改。