Aide mémoire pour selinux

pour voir les contextes selinux de fichiers

ls -Z /root/

Les status selinux:

Pour Voir le status de selinux

getenforce

pour desactiver le selinux mais laisser les logs

setenforce 0

Pour reactiver selinux

setenforce 1

Les contextes

pour changer le contexte

chcon system_u:object_r:httpd_config_t:s0 httpd.conf

changement de l’utilisateur

chcon -u system_u httpd.conf

changement du role

chcon -r object_r httpd.conf

changement du type

chcon -t httpd_config_t httpd.conf

changer le niveau

chcon -l s0 httpd.conf

changement récursif

chcon -R system_u:object_r:httpd_config_t:s0 conf.d

Pour générer un fichier de règles en fonction des logs

grep "httpd" /var/log/audit.d/audit.log | audit2allow -a -M nomdelaregleagenerer

semodule -i nomdelaregleagenerer.pp

Les booléens

Voir la liste des booléens

/usr/sbin/getsebool -a

changer un booléen

setsebool -P httpd_can_network_connect on

 

Les rapports d’audit:

Pour afficher un rapport général

aureport

 

Pour afficher toutes les connexions utilisateur

aureport -au

 

Pour afficher toutes les connexions des machines

aureport -l

 

Liens intéressant :

https://wiki.centos.org/TipsAndTricks/SelinuxBooleans 
https://blog.microlinux.fr/selinux/
https://www.tecmint.com/create-reports-from-audit-logs-using-aureport-on-centos-rhel/