Red Hat Training

A Red Hat training course is available for RHEL 8

46.13.2. 使用 CLI 配置锁定允许列表选项

锁定允许名单中可以包含命令、安全上下文、用户和用户 ID。如果允许列表中的命令条目以星号"*"结尾,则以该命令开头的所有命令行都将匹配。如果没有 "*",那么包括参数的绝对命令必须匹配。

  • 上下文是正在运行的应用程序或服务的安全(SELinux)上下文。要获得正在运行的应用程序的上下文,请使用以下命令:

    $ ps -e --context

    该命令返回所有正在运行的应用程序。通过 grep 工具将结果进行管道输出以获取感兴趣的应用程序。例如:

    $ ps -e --context | grep example_program
  • 要列出允许列表中的所有命令行,请以 root 身份输入以下命令:

    # firewall-cmd --list-lockdown-whitelist-commands
  • 要向允许列表中添加一个命令 command,请以 root 身份输入以下命令:

    # firewall-cmd --add-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'
  • 要从允许列表中删除 命令,请以 root 身份输入以下命令:

    # firewall-cmd --remove-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'
  • 要查询 命令 是否在允许列表中,请以 root 身份输入以下命令:

    # firewall-cmd --query-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'

    如果为 true,命令会打印 yes,且退出状态为 0。否则,将打印 no ,退出状态为 1

  • 要列出允许列表中的所有安全上下文,请以 root 身份输入以下命令:

    # firewall-cmd --list-lockdown-whitelist-contexts
  • 要向允许列表中添加一个上下文 context,请以 root 身份输入以下命令:

    # firewall-cmd --add-lockdown-whitelist-context=context
  • 要从允许列表中删除一个上下文 context,请以 root 身份输入以下命令:

    # firewall-cmd --remove-lockdown-whitelist-context=context
  • 要查询上下文 context 是否在允许列表中,请以 root 身份输入以下命令:

    # firewall-cmd --query-lockdown-whitelist-context=context

    如果为 true,则打印 yes,退出状态为 0 ,否则打印 no,退出状态为 1

  • 要列出允许列表中的所有用户 ID,请以 root 身份输入以下命令:

    # firewall-cmd --list-lockdown-whitelist-uids
  • 要向允许列表中添加用户 ID uid,请以 root 身份输入以下命令:

    # firewall-cmd --add-lockdown-whitelist-uid=uid
  • 要从允许列表中删除用户 ID uid,请以 root 身份输入以下命令:

    # firewall-cmd --remove-lockdown-whitelist-uid=uid
  • 要查询用户 ID uid 是否在 allowlist 中,请输入以下命令:

    $ firewall-cmd --query-lockdown-whitelist-uid=uid

    如果为 true,则打印 yes,退出状态为 0 ,否则打印 no,退出状态为 1

  • 要列出允许列表中的所有用户名,请以 root 身份输入以下命令:

    # firewall-cmd --list-lockdown-whitelist-users
  • 要向允许列表中添加用户名 user,请以 root 身份输入以下命令:

    # firewall-cmd --add-lockdown-whitelist-user=user
  • 要从允许列表中删除用户名 user,请以 root 身份输入以下命令:

    # firewall-cmd --remove-lockdown-whitelist-user=user
  • 要查询用户名 user 是否在 allowlist 中,请输入以下命令:

    $ firewall-cmd --query-lockdown-whitelist-user=user

    如果为 true,则打印 yes,退出状态为 0 ,否则打印 no,退出状态为 1