Aide mémoire pour selinux
pour voir les contextes selinux de fichiers
ls -Z /root/
Les status selinux:
Pour Voir le status de selinux
getenforce
pour desactiver le selinux mais laisser les logs
setenforce 0
Pour reactiver selinux
setenforce 1
Les contextes
pour changer le contexte
chcon system_u:object_r:httpd_config_t:s0 httpd.conf
changement de l’utilisateur
chcon -u system_u httpd.conf
changement du role
chcon -r object_r httpd.conf
changement du type
chcon -t httpd_config_t httpd.conf
changer le niveau
chcon -l s0 httpd.conf
changement récursif
chcon -R system_u:object_r:httpd_config_t:s0 conf.d
Pour générer un fichier de règles en fonction des logs
grep "httpd" /var/log/audit.d/audit.log | audit2allow -a -M nomdelaregleagenerer
semodule -i nomdelaregleagenerer.pp
Les booléens
Voir la liste des booléens
/usr/sbin/getsebool -a
changer un booléen
setsebool -P httpd_can_network_connect on
Les rapports d’audit:
Pour afficher un rapport général
aureport
Pour afficher toutes les connexions utilisateur
aureport -au
Pour afficher toutes les connexions des machines
aureport -l
Liens intéressant :
https://wiki.centos.org/TipsAndTricks/SelinuxBooleans
https://blog.microlinux.fr/selinux/
https://www.tecmint.com/create-reports-from-audit-logs-using-aureport-on-centos-rhel/