7.13.2. 使用 CLI 配置锁定允许列表选项

上下文是正在运行的应用程序或服务的安全（SELinux）上下文。要获得正在运行的应用程序的上下文，请使用以下命令：

$ ps -e --context

该命令返回所有正在运行的应用程序。通过 grep 工具将结果进行管道输出以获取感兴趣的应用程序。例如：

$ ps -e --context | grep example_program

要列出允许列表中的所有命令行，请以 root 身份输入以下命令：

# firewall-cmd --list-lockdown-whitelist-commands

要向允许列表中添加一个命令 command，请以 root 身份输入以下命令：

# firewall-cmd --add-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'

要从允许列表中删除 命令，请以 root 身份输入以下命令：

# firewall-cmd --remove-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'

要查询 命令 是否在允许列表中，请以 root 身份输入以下命令：

# firewall-cmd --query-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'

如果为 true，命令会打印 yes，且退出状态为 0。否则，将打印 no ，退出状态为 1。

要列出允许列表中的所有安全上下文，请以 root 身份输入以下命令：

# firewall-cmd --list-lockdown-whitelist-contexts

要向允许列表中添加一个上下文 context，请以 root 身份输入以下命令：

# firewall-cmd --add-lockdown-whitelist-context=context

要从允许列表中删除一个上下文 context，请以 root 身份输入以下命令：

# firewall-cmd --remove-lockdown-whitelist-context=context

要查询上下文 context 是否在允许列表中，请以 root 身份输入以下命令：

# firewall-cmd --query-lockdown-whitelist-context=context

如果为 true，则打印 yes，退出状态为 0 ，否则打印 no，退出状态为 1。

要列出允许列表中的所有用户 ID，请以 root 身份输入以下命令：

# firewall-cmd --list-lockdown-whitelist-uids

要向允许列表中添加用户 ID uid，请以 root 身份输入以下命令：

# firewall-cmd --add-lockdown-whitelist-uid=uid

要从允许列表中删除用户 ID uid，请以 root 身份输入以下命令：

# firewall-cmd --remove-lockdown-whitelist-uid=uid

要查询用户 ID uid 是否在 allowlist 中，请输入以下命令：

$ firewall-cmd --query-lockdown-whitelist-uid=uid

如果为 true，则打印 yes，退出状态为 0 ，否则打印 no，退出状态为 1。

要列出允许列表中的所有用户名，请以 root 身份输入以下命令：

# firewall-cmd --list-lockdown-whitelist-users

要向允许列表中添加用户名 user，请以 root 身份输入以下命令：

# firewall-cmd --add-lockdown-whitelist-user=user

要从允许列表中删除用户名 user，请以 root 身份输入以下命令：

# firewall-cmd --remove-lockdown-whitelist-user=user

要查询用户名 user 是否在 allowlist 中，请输入以下命令：

$ firewall-cmd --query-lockdown-whitelist-user=user

如果为 true，则打印 yes，退出状态为 0 ，否则打印 no，退出状态为 1。