8.6. SELinux
8.6.1. SELinux 软件包迁移到 Python 3
-
policycoreutils-python
已被policycoreutils-python-utils
和python3-policycoreutils
软件包替代。 -
libselinux-python
软件包的功能现在由python3-libselinux
软件包提供。 -
setools-libs
软件包的功能现在由python3-setools
软件包提供。 -
libsemanage-python
软件包的功能现在由python3-libsemanage
软件包提供。
8.6.2. SELinux 子软件包的更改
-
libselinux-static
、libsemanage-static
、libsepol-static
和setools-libs-tcl
已被删除。 -
RHEL 8.0 和 8.1 提供了
setools-gui
和setools-console-analyses
。RHEL 8.2 是包含这些子软件包的 RHEL 8 的第一个次要版本。
8.6.3. SELinux 布尔值的更改
8.6.3.1. 新 SELinux 布尔值
这个 SELinux 系统策略更新引进了以下布尔值:
-
colord_use_nfs
-
deny_bluetooth
-
httpd_use_opencryptoki
-
logrotate_use_fusefs
-
mysql_connect_http
-
pdns_can_network_connect_db
-
ssh_use_tcpd
-
sslh_can_bind_any_port
-
sslh_can_connect_any_port
-
tor_can_onion_services
-
unconfined_dyntrans_all
-
use_virtualbox
-
virt_sandbox_share_apache_content
-
virt_use_pcscd
8.6.3.2. 删除的 SELinux 布尔值
以前版本中提供的以下布尔值在 RHEL 8 SELinux 策略中不提供:
-
container_can_connect_any
-
ganesha_use_fusefs
8.6.3.3. 更改默认值
在 RHEL 8 中,以下 SELinux 布尔值被设置为与上一版本不同的默认值:
-
domain_can_map_files
现在被默认设置为off
。 -
httpd_graceful_shutdown
现在被默认设置为off
。 -
mozilla_plugin_can_network_connect
现在被默认设置为on
。 -
named_write_master_zones
现在被默认设置为on
。
例如,antivirus_use_jit
和 ssh_chroot_rw_homedirs
布尔值的描述已改变。
要获得布尔值列表及其含义,要找出它们是否启用或禁用,请安装 selinux-policy-devel
软件包并使用:
# semanage boolean -l
8.6.4. SELinux 端口类型更改
RHEL 8 SELinux 策略提供以下额外端口类型:
-
appswitch_emp_port_t
-
babel_port_t
-
bfd_control_port_t
-
conntrackd_port_t
-
firepower_port_t
-
nmea_port_t
-
nsca_port_t
-
openqa_port_t
-
openqa_websockets_port_t
-
priority_e_com_port_t
-
qpasa_agent_port_t
-
rkt_port_t
-
smntubootstrap_port_t
-
statsd_port_t
-
versa_tek_port_t
dns_port_t
和 ephemeral_port_t
端口类型的定义已改变,gluster_port_t
端口类型已删除。
8.6.5. sesearch
用法的变化
-
sesearch
命令不再使用-C
选项,它要求包括有条件的表达式。 -T
,--type
选项已被更改为:-
-T
,--type_trans
- 查找 type_transition 规则。 -
--type_member
- 查找 type_member 规则。 -
--type_change
- 查找 type_change 规则。
-
为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。