Red Hat Training
A Red Hat training course is available for RHEL 8
7.13.2. 使用 CLI 配置锁定允许列表选项
锁定允许名单中可以包含命令、安全上下文、用户和用户 ID。如果允许列表中的命令条目以星号"*"结尾,则以该命令开头的所有命令行都将匹配。如果没有 "*",那么包括参数的绝对命令必须匹配。
上下文是正在运行的应用程序或服务的安全(SELinux)上下文。要获得正在运行的应用程序的上下文,请使用以下命令:
$
ps -e --context
该命令返回所有正在运行的应用程序。通过 grep 工具将结果进行管道输出以获取感兴趣的应用程序。例如:
$ ps -e --context | grep example_program
要列出允许列表中的所有命令行,请以
root
身份输入以下命令:# firewall-cmd --list-lockdown-whitelist-commands
要向允许列表中添加一个命令 command,请以
root
身份输入以下命令:# firewall-cmd --add-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'
要从允许列表中删除 命令,请以
root
身份输入以下命令:# firewall-cmd --remove-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'
要查询 命令 是否在允许列表中,请以
root
身份输入以下命令:# firewall-cmd --query-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'
如果为 true,命令会打印
yes
,且退出状态为0
。否则,将打印no
,退出状态为1
。要列出允许列表中的所有安全上下文,请以
root
身份输入以下命令:# firewall-cmd --list-lockdown-whitelist-contexts
要向允许列表中添加一个上下文 context,请以
root
身份输入以下命令:# firewall-cmd --add-lockdown-whitelist-context=context
要从允许列表中删除一个上下文 context,请以
root
身份输入以下命令:# firewall-cmd --remove-lockdown-whitelist-context=context
要查询上下文 context 是否在允许列表中,请以
root
身份输入以下命令:# firewall-cmd --query-lockdown-whitelist-context=context
如果为 true,则打印
yes
,退出状态为0
,否则打印no
,退出状态为1
。要列出允许列表中的所有用户 ID,请以
root
身份输入以下命令:# firewall-cmd --list-lockdown-whitelist-uids
要向允许列表中添加用户 ID uid,请以
root
身份输入以下命令:# firewall-cmd --add-lockdown-whitelist-uid=uid
要从允许列表中删除用户 ID uid,请以
root
身份输入以下命令:# firewall-cmd --remove-lockdown-whitelist-uid=uid
要查询用户 ID uid 是否在 allowlist 中,请输入以下命令:
$
firewall-cmd --query-lockdown-whitelist-uid=uid
如果为 true,则打印
yes
,退出状态为0
,否则打印no
,退出状态为1
。要列出允许列表中的所有用户名,请以
root
身份输入以下命令:# firewall-cmd --list-lockdown-whitelist-users
要向允许列表中添加用户名 user,请以
root
身份输入以下命令:# firewall-cmd --add-lockdown-whitelist-user=user
要从允许列表中删除用户名 user,请以
root
身份输入以下命令:# firewall-cmd --remove-lockdown-whitelist-user=user
要查询用户名 user 是否在 allowlist 中,请输入以下命令:
$
firewall-cmd --query-lockdown-whitelist-user=user
如果为 true,则打印
yes
,退出状态为0
,否则打印no
,退出状态为1
。