SELinux 二元值

下列清单来自 CentOS 5。CentOS 4 拥有某些二元值,你在以下的清单亦可以找到。CentOS 4 上的 system-config-selinux 不能处理二元值。

我需要哪些二元值?

getsebool -a

这样会显示出你的系统上可以由你更改的二元值。因此请查看这个清单并找出你有兴趣知道的二元值,然后核对下面列表,看看它是否真的有你所想要的作用。

注: 你不能更改以下所列出的所有二元值,却只限於 getsebool -a 所列出的那些。下面的清单来自 system-config-selinux,它列出按照所安装的组件而可用的二元值

Note:CentOS 6 引进了一个新的方法来列出所有二元值,以及简述它们的功用:semanage boolean -l 。其它 semanage boolean 指令与过往版本的 setsebool 类同,他们容许你更改这些变量。

样例:SELinux 阻止你的 httpd 守护程序与同一台机器上的 LDAP 服务器沟通。你却需要通过 LDAP 来进行验证。你知道你可能会用得著的二元值应含有 httpd 这个字。

admin@forge:~$/usr/sbin/getsebool -a | grep httpd
allow_httpd_anon_write --> off
allow_httpd_bugzilla_script_anon_write --> off
allow_httpd_mod_auth_pam --> off
allow_httpd_nagios_script_anon_write --> off
allow_httpd_squid_script_anon_write --> off
allow_httpd_sys_script_anon_write --> off
httpd_builtin_scripting --> on
httpd_can_network_connect --> off
httpd_can_network_connect_db --> off
httpd_can_network_relay --> off
httpd_disable_trans --> off
httpd_enable_cgi --> on
httpd_enable_ftp_server --> off
httpd_enable_homedirs --> on
httpd_rotatelogs_disable_trans --> off
httpd_ssi_exec --> off
httpd_suexec_disable_trans --> off
httpd_tty_comm --> on
httpd_unified --> on

httpd_can_network_connect 看来很有趣 —— 让我们核对下面的列表:

httpd_can_network_connect(HTTPD 服务):: 容许 HTTPD 脚本及模块与网络连接

似乎是你所需的设置……

setsebool -P httpd_can_network_connect on

这样会启用这个设置。看 —— 成功了。

来自 policycoreutils-gui 组件的 system-config-selinux 有一个与下面相同的列表。因此,如果你备有一个图像界面,安装那个组件然后用它作出修改可能会较好。

你可以用下列指令来安装它

yum install policycoreutils-gui

对於其它用户:这里就是

SELinux 的二元值列表

acct_disable_trans(SELinux 服务保护)
SELinux 停止保护 acct 守护程序
allow_cvs_read_shadow (CVS)
容许 cvs 守护程序阅读 shadow
allow_daemons_dump_core(系统管理)
容许所有守护程序将 corefiles 写在 / 目录
allow_daemons_use_tty(系统管理)
容许所有守护程序使用未分配的终端機
allow_execheap(内存保护)
容许未受限制执行档将自己的堆内存设为可执行的。这样做是个非常坏的主意。它多数代表执行档写得很差,但也可以意味一个攻击。这个执行档应该被汇报到 bugzilla
allow_execmem(内存保护)
容许未受限制执行档将自己的堆内存设为可执行的及可写入的。这样做是个非常危险,而执行档应该被汇报到 bugzilla
allow_execmod(内存保护)
容许所有未被置标为 textrel_shlib_t 的未受限制执行档使用需要内容再定位的库
allow_execstack(内存保护)
容许未受限制执行档将自己的堆栈设为可执行的。这是根本永远没有需要的。它多数代表执行档写得很差,但也可以意味一个攻击。这个执行档应该被汇报到 bugzilla
allow_ftpd_full_access(FTP)
容许 ftpd 全权访问系统
allow_ftpd_anon_write(FTP)
容许 ftpd 将文件上载到置标为 public_content_rw_t 的目录
allow_ftpd_use_cifs(FTP)
容许 ftp 服务器在公开传输服务使用 cifs
allow_ftpd_use_nfs(FTP)
容许 ftp servers 在公开传输服务使用 nfs
allow_gpg_execstack(内存保护)
容许 gpg 将自己的堆栈设为可执行的
allow_gssd_read_tmp(NFS)
容许 gssd 阅读 temp 目录
allow_httpd_anon_write(HTTPD 服务)
容许 httpd 守护程序将文件写入置标为 public_content_rw_t 的目录
allow_httpd_mod_auth_pam(HTTPD 服务)
容许 Apache 使用 mod_auth_pam.
allow_httpd_sys_script_anon_write(HTTPD 服务)
容许 httpd 脚本将文件写入置标为 public_content_rw_t 的目录
allow_java_execstack(内存保护)
容许 java 将自己的堆栈设为可执行的
allow_kerberos(Kerberos)
容许守护程序使用 kerberos 文件
allow_mount_anyfile(挂载)
容许 mount 挂载任何文件
allow_mounton_anydir (挂载)
容许 mount 挂载任何目录
allow_mplayer_execstack(内存保护)
容许 mplayer 将自己的堆栈设为可执行的
allow_nfsd_anon_write(NFS)
容许 nfs 服务器修改公开传输服务所应用的公开文件
allow_polyinstantiation(Polyinstatiation)
打开 polyinstantiated 目录的支持
allow_ptrace(兼容性)
容许 sysadm_t 针对应用程序侦错或运用 ptrace
allow_rsync_anon_write(rsync)
容许 rsync 将文件写入置标为 public_content_rw_t 的目录
allow_smbd_anon_write(Samba)
容许 Samba 将文件写入置标为 public_content_rw_t 的目录
allow_ssh_keysign(SSH)
容许 ssh 执行 ssh-keysign
allow_unconfined_execmem_dyntrans(内存保护)
容许 unconfined 动态转变成 unconfined_execmem
allow_user_mysql_connect(数据库)
容许用户连接到 mysql 通讯端
allow_user_postgresql_connect(数据库)
容许用户连接到 postgres 通讯端
allow_write_xshm(X 服务器)
容许客户端写进 X 的公共内存
allow_ypbind(NIS)
容许守护程序执行时运用 NIS
allow_zebra_write_config(Zebra)
容许 zebra 守护程序写入它的配置文件
amanda_disable_trans(SELinux 服务保护)
SELinux 停止保护 amanda
amavis_disable_trans(SELinux 服务保护)
SELinux 停止保护 amavis
apmd_disable_trans(SELinux 服务保护)
SELinux 停止保护 apmd 守护程序
arpwatch_disable_trans(SELinux 服务保护)
SELinux 停止保护 arpwatch 守护程序
auditd_disable_trans(SELinux 服务保护)
SELinux 停止保护 auditd 守护程序
automount_disable_trans(挂载)
SELinux 停止保护 automount 守护程序
avahi_disable_trans(SELinux 服务保护)
SELinux 停止保护 avahi
bluetooth_disable_trans(SELinux 服务保护)
SELinux 停止保护 bluetooth 守护程序
canna_disable_trans(SELinux 服务保护)
SELinux 停止保护 canna 守护程序
cardmgr_disable_trans(SELinux 服务保护)
SELinux 停止保护 cardmgr 守护程序
ccs_disable_trans(SELinux 服务保护)
SELinux 停止保护 Cluster Server
cdrecord_read_content(用户权限)
容许 cdrecord 阅读各种内容:nfs、samba、可删除设备、用户档、temp 及未被信任的内容
ciped_disable_trans(SELinux 服务保护)
SELinux 停止保护 ciped 守护程序
clamd_disable_trans(SELinux 服务保护)
SELinux 停止保护 clamd 守护程序
clamscan_disable_trans(SELinux 服务保护)
SELinux 停止保护 clamscan
clvmd_disable_trans(SELinux 服务保护)
SELinux 停止保护 clvmd
comsat_disable_trans(SELinux 服务保护)
SELinux 停止保护 comsat 守护程序
courier_authdaemon_disable_trans(SELinux 服务保护)
SELinux 停止保护 courier 守护程序
courier_pcp_disable_trans(SELinux 服务保护)
SELinux 停止保护 courier 守护程序
courier_pop_disable_trans(SELinux 服务保护)
SELinux 停止保护 courier 守护程序
courier_sqwebmail_disable_trans(SELinux 服务保护)
SELinux 停止保护 courier 守护程序
courier_tcpd_disable_trans(SELinux 服务保护)
SELinux 停止保护 courier 守护程序
cpucontrol_disable_trans(SELinux 服务保护)
SELinux 停止保护 cpucontrol 守护程序
cpuspeed_disable_trans(SELinux 服务保护)
SELinux 停止保护 cpuspeed 守护程序
cron_can_relabel(Cron)
容许 system cron jobs to relabel filesystem for restoring file contexts.
crond_disable_trans(Cron)
SELinux 停止保护 crond 守护程序
cupsd_config_disable_trans(打印)
SELinux 停止保护 cupsd backend server
cupsd_disable_trans(打印)
SELinux 停止保护 cupsd 守护程序
cupsd_lpd_disable_trans(打印)
SELinux 停止保护 cupsd_lpd
cvs_disable_trans(CVS)
SELinux 停止保护 cvs 守护程序
cyrus_disable_trans(SELinux 服务保护)
SELinux 停止保护 cyrus 守护程序
dbskkd_disable_trans(SELinux 服务保护)
SELinux 停止保护 dbskkd 守护程序
dbusd_disable_trans(SELinux 服务保护)
SELinux 停止保护 dbusd 守护程序
dccd_disable_trans(SELinux 服务保护)
SELinux 停止保护 dccd
dccifd_disable_trans(SELinux 服务保护)
SELinux 停止保护 dccifd
dccm_disable_trans(SELinux 服务保护)
SELinux 停止保护 dccm
ddt_client_disable_trans(SELinux 服务保护)
SELinux 停止保护 ddt 守护程序
devfsd_disable_trans(SELinux 服务保护)
SELinux 停止保护 devfsd 守护程序
dhcpc_disable_trans(SELinux 服务保护)
SELinux 停止保护 dhcpc 守护程序
dhcpd_disable_trans(SELinux 服务保护)
SELinux 停止保护 dhcpd 守护程序
dictd_disable_trans(SELinux 服务保护)
SELinux 停止保护 dictd 守护程序
direct_sysadm_daemon(系统管理)
容许 sysadm_t to directly start daemons
disable_evolution_trans(网络应用程序)
SELinux 停止保护 Evolution
disable_games_trans(Games)
SELinux 停止保护 games
disable_mozilla_trans(网络应用程序)
SELinux 停止保护 the web browsers
disable_thunderbird_trans(网络应用程序)
SELinux 停止保护 Thunderbird
distccd_disable_trans(SELinux 服务保护)
SELinux 停止保护 distccd 守护程序
dmesg_disable_trans(SELinux 服务保护)
SELinux 停止保护 dmesg 守护程序
dnsmasq_disable_trans(SELinux 服务保护)
SELinux 停止保护 dnsmasq 守护程序
dovecot_disable_trans(SELinux 服务保护)
SELinux 停止保护 dovecot 守护程序
entropyd_disable_trans(SELinux 服务保护)
SELinux 停止保护 entropyd 守护程序
fcron_crond(Cron)
Enable extra rules in the cron domain to support fcron.
fetchmail_disable_trans(SELinux 服务保护)
SELinux 停止保护 fetchmail
fingerd_disable_trans(SELinux 服务保护)
SELinux 停止保护 fingerd 守护程序
freshclam_disable_trans(SELinux 服务保护)
SELinux 停止保护 freshclam 守护程序
fsdaemon_disable_trans(SELinux 服务保护)
SELinux 停止保护 fsdaemon 守护程序
ftpd_disable_trans(FTP)
SELinux 停止保护 ftpd 守护程序
ftpd_is_daemon(FTP)
容许 ftpd 不须 inetd 直接执行
ftp_home_dir(FTP)
容许 ftp 在用户的主目录读/写文件
global_ssp(系统管理)

当所有程序编译时都包括 ProPolice/SSP 堆栈撞击保护时,这个应该被启用。所有本地都会被容许阅读 /dev/urandom

gpm_disable_trans(SELinux 服务保护)
SELinux 停止保护 gpm 守护程序
gssd_disable_trans(NFS)
SELinux 停止保护 gss 守护程序
hald_disable_trans(SELinux 服务保护)
SELinux 停止保护 hal 守护程序
hide_broken_symptoms(兼容性)
不要审计那些已知是损坏了但不构成安全性危机的事情
hostname_disable_trans(SELinux 服务保护)
SELinux 停止保护 hostname 守护程序
hotplug_disable_trans(SELinux 服务保护)
SELinux 停止保护 hotplug 守护程序
howl_disable_trans(SELinux 服务保护)
SELinux 停止保护 howl 守护程序
hplip_disable_trans(打印)
SELinux 停止保护 cups hplip 守护程序
httpd_builtin_scripting(HTTPD 服务)
容许 HTTPD 支持内置脚本
httpd_can_network_connect_db(HTTPD 服务)
容许 HTTPD 脚本及模块通过网络与数据库连接
httpd_can_network_connect(HTTPD 服务)
容许 HTTPD 脚本及模块与网络连接
httpd_can_network_relay(HTTPD 服务)
容许 httpd 扮演中继器的角色
httpd_disable_trans(HTTPD 服务)
SELinux 停止保护 httpd 守护程序
httpd_enable_cgi(HTTPD 服务)
容许 HTTPD 支持 cgi
httpd_enable_ftp_server(HTTPD 服务)
容许 HTTPD 以 ftp 服务器的身份去执行
httpd_enable_homedirs(HTTPD 服务)
容许 HTTPD 阅读用户的主目录
httpd_rotatelogs_disable_trans(SELinux 服务保护)
SELinux 停止保护 httpd rotatelogs
httpd_ssi_exec(HTTPD 服务)
容许 HTTPD 在系统 CGI 脚本的同一本地里执行 SSI 执行档
httpd_suexec_disable_trans(HTTPD 服务)
SELinux 停止保护 http suexec
httpd_tty_comm(HTTPD 服务)
统一 HTTPD 与终端機的沟通。处理凭证时需用
httpd_unified(HTTPD 服务)
统一 HTTPD 处理所有内容文件
hwclock_disable_trans(SELinux 服务保护)
SELinux 停止保护 hwclock 守护程序
i18n_input_disable_trans(SELinux 服务保护)
SELinux 停止保护 i18n 守护程序
imazesrv_disable_trans(SELinux 服务保护)
SELinux 停止保护 imazesrv 守护程序
inetd_child_disable_trans(SELinux 服务保护)
SELinux 停止保护 inetd 子守护程序
inetd_disable_trans(SELinux 服务保护)
SELinux 停止保护 inetd 守护程序
innd_disable_trans(SELinux 服务保护)
SELinux 停止保护 innd 守护程序
iptables_disable_trans(SELinux 服务保护)
SELinux 停止保护 iptables 守护程序
ircd_disable_trans(SELinux 服务保护)
SELinux 停止保护 ircd 守护程序
irqbalance_disable_trans(SELinux 服务保护)
SELinux 停止保护 irqbalance 守护程序
iscsid_disable_trans(SELinux 服务保护)
SELinux 停止保护 iscsi 守护程序
jabberd_disable_trans(SELinux 服务保护)
SELinux 停止保护 jabberd 守护程序
kadmind_disable_trans(Kerberos)
SELinux 停止保护 kadmind 守护程序
klogd_disable_trans(SELinux 服务保护)
SELinux 停止保护 klogd 守护程序
krb5kdc_disable_trans(Kerberos)
SELinux 停止保护 krb5kdc 守护程序
ktalkd_disable_trans(SELinux 服务保护)
SELinux 停止保护 ktalk 守护程序
kudzu_disable_trans(SELinux 服务保护)
SELinux 停止保护 kudzu 守护程序
locate_disable_trans(SELinux 服务保护)
SELinux 停止保护 locate 守护程序
lpd_disable_trans(SELinux 服务保护)
SELinux 停止保护 lpd 守护程序
lrrd_disable_trans(SELinux 服务保护)
SELinux 停止保护 lrrd 守护程序
lvm_disable_trans(SELinux 服务保护)
SELinux 停止保护 lvm 守护程序
mailman_mail_disable_trans(SELinux 服务保护)
SELinux 停止保护 mailman
mail_read_content(网络应用程序)
容许 evolution 及 thunderbird 阅读月户文件
mdadm_disable_trans(SELinux 服务保护)
SELinux 停止保护 mdadm 守护程序
monopd_disable_trans(SELinux 服务保护)
SELinux 停止保护 monopd 守护程序
mozilla_read_content(网络应用程序)
容许 mozilla 浏览器阅读用户文件
mrtg_disable_trans(SELinux 服务保护)
SELinux 停止保护 mrtg 守护程序
mysqld_disable_trans(数据库)
SELinux 停止保护 mysqld 守护程序
nagios_disable_trans(SELinux 服务保护)
SELinux 停止保护 nagios 守护程序
named_disable_trans(Name Service)
SELinux 停止保护 named 守护程序
named_write_master_zones(Name Service)
容许 named 取替主本地文件
nessusd_disable_trans(SELinux 服务保护)
SELinux 停止保护 nessusd 守护程序
NetworkManager_disable_trans(SELinux 服务保护)

SELinux 停止保护 NetworkManager

nfsd_disable_trans(NFS)
SELinux 停止保护 nfsd 守护程序
nfs_export_all_ro(NFS)
容许 NFS 以只读方式分享任何文件/目录
nfs_export_all_rw(NFS)
容许 NFS 以读/写方式分享任何文件/目录
nmbd_disable_trans(Samba)
SELinux 停止保护 nmbd 守护程序
nrpe_disable_trans(SELinux 服务保护)
SELinux 停止保护 nrpe 守护程序
nscd_disable_trans(Name Service)
SELinux 停止保护 nscd 守护程序
nsd_disable_trans(SELinux 服务保护)
SELinux 停止保护 nsd 守护程序
ntpd_disable_trans(SELinux 服务保护)
SELinux 停止保护 ntpd 守护程序
oddjob_disable_trans(SELinux 服务保护)
SELinux 停止保护 oddjob
oddjob_mkhomedir_disable_trans(SELinux 服务保护)
SELinux 停止保护 oddjob_mkhomedir
openvpn_disable_trans(SELinux 服务保护)
SELinux 停止保护 openvpn 守护程序
pam_console_disable_trans(SELinux 服务保护)
SELinux 停止保护 pam 守护程序
pegasus_disable_trans(SELinux 服务保护)
SELinux 停止保护 pegasus
perdition_disable_trans(SELinux 服务保护)
SELinux 停止保护 perdition 守护程序
portmap_disable_trans(SELinux 服务保护)
SELinux 停止保护 portmap 守护程序
portslave_disable_trans(SELinux 服务保护)
SELinux 停止保护 portslave 守护程序
postfix_disable_trans(SELinux 服务保护)
SELinux 停止保护 postfix
postgresql_disable_trans(数据库)
SELinux 停止保护 postgresql 守护程序
pppd_can_insmod(pppd)
容许 pppd 守护程序在内核插入模块
pppd_disable_trans(pppd)
SELinux 停止保护 pppd 守护程序
pppd_disable_trans(pppd)
SELinux 停止保护 mozilla 的 ppp 守护程序
pppd_for_user(pppd)
容许 pppd 被正常用户执行
pptp_disable_trans(SELinux 服务保护)
SELinux 停止保护 pptp
prelink_disable_trans(SELinux 服务保护)
SELinux 停止保护 prelink 守护程序
privoxy_disable_trans(SELinux 服务保护)
SELinux 停止保护 privoxy 守护程序
ptal_disable_trans(SELinux 服务保护)
SELinux 停止保护 ptal 守护程序
pxe_disable_trans(SELinux 服务保护)
SELinux 停止保护 pxe 守护程序
pyzord_disable_trans(SELinux 服务保护)
SELinux 停止保护 pyzord
quota_disable_trans(SELinux 服务保护)
SELinux 停止保护 quota 守护程序
radiusd_disable_trans(SELinux 服务保护)
SELinux 停止保护 radiusd 守护程序
radvd_disable_trans(SELinux 服务保护)
SELinux 停止保护 radvd 守护程序
rdisc_disable_trans(SELinux 服务保护)
SELinux 停止保护 rdisc
readahead_disable_trans(SELinux 服务保护)
SELinux 停止保护 readahead
read_default_t(系统管理)
容许程序阅读处於非正式位置的 default_t 内的文件
read_untrusted_content(网络应用程序)
容许程序在未经过 relabel 便能阅读不被信任的内容
restorecond_disable_trans(SELinux 服务保护)
SELinux 停止保护 restorecond
rhgb_disable_trans(SELinux 服务保护)
SELinux 停止保护 rhgb 守护程序
ricci_disable_trans(SELinux 服务保护)
SELinux 停止保护 ricci
ricci_modclusterd_disable_trans(SELinux 服务保护)
SELinux 停止保护 ricci_modclusterd
rlogind_disable_trans(SELinux 服务保护)
SELinux 停止保护 rlogind 守护程序
rpcd_disable_trans(SELinux 服务保护)
SELinux 停止保护 rpcd 守护程序
rshd_disable_trans(SELinux 服务保护)
SELinux 停止保护 rshd
rsync_disable_trans(rsync)
SELinux 停止保护 rsync 守护程序
run_ssh_inetd(SSH)
容许 ssh 以非守护程序的身份被 inetd 去执行
samba_enable_home_dirs(Samba)
容许 Samba 分享用户的主目录
samba_share_nfs(Samba)
容许 Samba 分享 nfs 目录
allow_saslauthd_read_shadow(SASL 验证服务器)
容许 sasl 验证服务器阅读 /etc/shadow
saslauthd_disable_trans(SASL 验证服务器)
SELinux 停止保护 saslauthd 守护程序
scannerdaemon_disable_trans(SELinux 服务保护)
SELinux 停止保护 scannerdaemon 守护程序
secure_mode (系统管理)
禁止转变为 sysadm_t,影响 sudo 及 su
secure_mode_insmod (系统管理)
禁止所有进程装入内核模块
secure_mode_policyload (系统管理)
禁止所有进程更改内核的 SELinux 政策
sendmail_disable_trans(SELinux 服务保护)
SELinux 停止保护 sendmail 守护程序
setrans_disable_trans(SELinux 服务保护)
SELinux 停止保护 setrans
setroubleshootd_disable_trans(SELinux 服务保护)
SELinux 停止保护 setroublesoot 守护程序
slapd_disable_trans(SELinux 服务保护)
SELinux 停止保护 slapd 守护程序
slrnpull_disable_trans(SELinux 服务保护)
SELinux 停止保护 slrnpull 守护程序
smbd_disable_trans(Samba)
SELinux 停止保护 smbd 守护程序
snmpd_disable_trans(SELinux 服务保护)
SELinux 停止保护 snmpd 守护程序
snort_disable_trans(SELinux 服务保护)
SELinux 停止保护 snort 守护程序
soundd_disable_trans(SELinux 服务保护)
SELinux 停止保护 soundd 守护程序
sound_disable_trans(SELinux 服务保护)
SELinux 停止保护 sound 守护程序
spamassassin_can_network(Spam Assassin)
容许 Spam Assasin 守护程序访问网络
spamd_disable_trans(垃圾邮件保护)
SELinux 停止保护 spamd 守护程序
spamd_enable_home_dirs(垃圾邮件保护)
容许 spamd 访问用户主目录
spammassasin_can_network(垃圾邮件保护)
容许 spammassasin 访问网络
speedmgmt_disable_trans(SELinux 服务保护)
SELinux 停止保护 speedmgmt 守护程序
squid_connect_any(Squid)
容许 squid 守护程序连接到网络
squid_disable_trans(Squid)
SELinux 停止保护 squid 守护程序
ssh_keygen_disable_trans(SSH)
SELinux 停止保护 ssh 守护程序
ssh_sysadm_login(SSH)
容许 ssh 发入为 sysadm_r:sysadm_t
staff_read_sysadm_file(系统管理)
容许 staff_r 用户寻找系统管理员主目录及阅读例如 ~/.bashrc 等文件
stunnel_disable_trans(Universal SSL tunnel)
SELinux 停止保护 stunnel 守护程序
stunnel_is_daemon(Universal SSL tunnel)
容许 stunnel 守护程序在 xinetd 以外独立执行
swat_disable_trans(SELinux 服务保护)
SELinux 停止保护 swat 守护程序
sxid_disable_trans(SELinux 服务保护)
SELinux 停止保护 sxid 守护程序
syslogd_disable_trans(SELinux 服务保护)
SELinux 停止保护 syslogd 守护程序
system_crond_disable_trans(SELinux 服务保护)
SELinux 停止保护系统 cron 工作
tcpd_disable_trans(SELinux 服务保护)
SELinux 停止保护 tcp 守护程序
telnetd_disable_trans(SELinux 服务保护)
SELinux 停止保护 telnet 守护程序
tftpd_disable_trans(SELinux 服务保护)
SELinux 停止保护 tftpd 守护程序
transproxy_disable_trans(SELinux 服务保护)
SELinux 停止保护 transproxy 守护程序
udev_disable_trans(SELinux 服务保护)
SELinux 停止保护 udev 守护程序
uml_switch_disable_trans(SELinux 服务保护)
SELinux 停止保护 uml 守护程序
unlimitedInetd(系统管理)
容许 xinetd 不受限制地执行,包括所有由它所引导,而又没有指定转变本地的服务
unlimitedRC(系统管理)
容许 rc 脚本不受限制地执行,包括所有由 rc 脚本所引导,而又没有指定转变本地的守护程序
unlimitedRPM(系统管理)
容许 rpm 不受限制地执行
unlimitedUtils(系统管理)
容许拥有特权的工具如 hotplug 及 insmod 不受限制地执行
updfstab_disable_trans(SELinux 服务保护)
SELinux 停止保护 updfstab 守护程序
uptimed_disable_trans(SELinux 服务保护)
SELinux 停止保护 uptimed 守护程序
use_lpd_server(打印)
采用 lpd 服务器而不是 cups
use_nfs_home_dirs(NFS)
支持 NFS 用户主目录
user_canbe_sysadm(用户权限)
容许 user_r 通过 su、sudo 或 userhelper 达至为 sysadm_r。否则,只有 staff_r 可以如此做
user_can_mount(挂载)
容许用户执行 mount 指令
user_direct_mouse(用户权限)
容许普通用户直接访问鼠标。不则,只有 X 服务器可以如此做
user_dmesg(用户权限)
容许用户执行 dmesg 指令
user_net_control(用户权限)
容许用户控制网络界面,亦需要 USERCTL=true
user_ping(用户权限)
容许普通用户执行 ping
user_rw_noexattrfile(用户权限)
容许用户读/写 noextattrfile 的 FAT、光盘及磁盘
user_rw_usb(用户权限)
容许用户读/写 USB 设备
user_tcp_server(用户权限)
容许用户执行 TCP 服务器并连结到端口,然后接受同一个本地及外来用户的连接。停用这个设置会强迫 FTP 以被动模式运作,更可以会改变其它通讯协议
user_ttyfile_stat(用户权限)
容许用户查看终端機文件的现况
use_samba_home_dirs(Samba)
容许用户以 CIFS 主目录登录
uucpd_disable_trans(SELinux 服务保护)
SELinux 停止保护 uucpd 守护程序
vmware_disable_trans(SELinux 服务保护)
SELinux 停止保护 vmware 守护程序
watchdog_disable_trans(SELinux 服务保护)
SELinux 停止保护 watchdog 守护程序
winbind_disable_trans(Samba)
SELinux 停止保护 winbind 守护程序
write_untrusted_content(网络应用程序)
容许网络应用程序将未被信任的内容写入碟,意味著阅读权
xdm_disable_trans(SELinux 服务保护)
SELinux 停止保护 xdm 守护程序
xdm_sysadm_login(X 服务器)
容许 xdm 登录为 sysadm_r:sysadm_t
xend_disable_trans(SELinux 服务保护)
SELinux 停止保护 xen 守护程序
xen_use_raw_disk(XEN)
容许 xen 读/写实体磁盘设备
xfs_disable_trans(SELinux 服务保护)
SELinux 停止保护 xfs 守护程序
xm_disable_trans(SELinux 服务保护)
SELinux 停止保护 xen 控制程序
ypbind_disable_trans(NIS)
SELinux 停止保护 ypbind 守护程序
yppasswdd_disable_trans(NIS)
SELinux 停止保护 NIS 口令守护程序
ypserv_disable_trans(SELinux 服务保护)
SELinux 停止保护 ypserv 守护程序
ypxfr_disable_trans(NIS)
SELinux 停止保护 NIS Transfer Daemon
zebra_disable_trans(SELinux 服务保护)
SELinux 停止保护 zebra 守护程序
httpd_use_cifs(HTTPD 服务)
容许 httpd 访问 samba/cifs 文件系统
httpd_use_nfs(HTTPD 服务)
容许 httpd 访问 nfs 文件系统
samba_domain_controller(Samba)
容许 samba 扮演本地主控器的角色:新增用户、群组及更改口令
samba_export_all_ro(Samba)
容许 Samba 以只读方式分享任何文件/目录
samba_export_all_rw(Samba)
容许 Samba 以读/写方式分享任何文件/目录
webadm_manage_users_files(HTTPD 服务)
容许 httpd 访问 nfs 文件系统
webadm_read_users_files(HTTPD 服务)
容许 httpd 访问 nfs 文件系统

Translation of revision 12

zh/TipsAndTricks/SelinuxBooleans (last edited 2011-02-25 06:08:22 by TimothyLee)