getenforce
sestatus
ls -Z
id -Z
Utiliser l'option -Z de la commande ps
ps -axZ
Voir le contenu du fichier /etc/selinux/config
cat /etc/selinux/config
Modifier le fichier de configuration /etc/selinux/config avec le niveau souhaité.
SELINUX=disabled # désactivé SELINUX=enforcing # activé SELINUX=permissive # pas de blocage mais les infos sont tracées dans le fichier /var/log/audit/audit.log
Utiliser la commande setenforce. La modification s'applique jusqu'au prochain redémarrage.
sudo setenforce 0 # passage en mode permissive sudo setenforce 1 # passage en mode enforcing
Pour forcer le système à ré-étiqueter le système de fichier :
sudo touch /.autorelabel sudo reboot
Le format des étiquettes est de la forme user:role:type:level
semanage fcontext -l
Pour définir le contexte après modification du répertoire par défaut des log MySQL :
semanage fcontext -a -t mysqld_db_t "/path/to/my/custom/datadir(/.*)?" restorecon -Rv /path/to/my/custom/datadir
semanage port -l
Pour définir le contexte mysql sur un port différent du port par défaut 3306 (3307 par exemple) :
semanage port -a -t mysqld_port_t -p tcp 3307
sudo dnf install setroubleshoot # Redhat sudo apt install setroubleshoot # Ubuntu
sudo sealert -l "*"