Red Hat Training

A Red Hat training course is available for RHEL 8

6.12.2. 使用 CLI 配置锁定允许列表选项

锁定允许名单中可以包含命令、安全上下文、用户和用户 ID。如果允许列表中的命令条目以星号"*"结尾,则以该命令开头的所有命令行都将匹配。如果没有 "*",那么包括参数的绝对命令必须匹配。

  • 上下文是正在运行的应用程序或服务的安全(SELinux)上下文。要获得正在运行的应用程序的上下文,请使用以下命令:

    $ ps -e --context

    该命令返回所有正在运行的应用程序。通过 grep 工具管道输出以便获取您感兴趣的应用程序。例如:

    $ ps -e --context | grep example_program
  • 要列出允许列表中的所有命令行,以 root 用户身份输入以下命令:

    # firewall-cmd --list-lockdown-whitelist-commands
  • 要在允许列表中添加 命令 command,以 root 用户身份输入以下命令:

    # firewall-cmd --add-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'
  • 要从允许列表中删除 命令 命令,以 root 用户身份输入以下命令:

    # firewall-cmd --remove-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'
  • 要查询命令命令是否在 允许列表中,以 root 用户身份输入以下命令:

    # firewall-cmd --query-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'

    如果为 true,该命令将输出 yes,退出状态为 0。否则,将不会 打印退出状态 1

  • 要列出允许列表中的所有安全上下文,以 root 用户身份输入以下命令:

    # firewall-cmd --list-lockdown-whitelist-contexts
  • 要在允许列表中添加 上下文 context,以 root 用户身份输入以下命令:

    # firewall-cmd --add-lockdown-whitelist-context=context
  • 要从允许列表中删除 上下文 context,以 root 用户身份输入以下命令:

    # firewall-cmd --remove-lockdown-whitelist-context=context
  • 要查询上下文 上下文 是否在允许列表中,以 root 用户身份输入以下命令:

    # firewall-cmd --query-lockdown-whitelist-context=context

    如果为 true,则打印 yes (退出状态为 0 ),否则打印 no,退出状态为 1

  • 要列出允许列表中的所有用户 ID,以 root 用户身份输入以下命令:

    # firewall-cmd --list-lockdown-whitelist-uids
  • 要在允许列表中添加用户 ID uid,以 root 用户身份输入以下命令:

    # firewall-cmd --add-lockdown-whitelist-uid=uid
  • 要从允许列表中删除用户 ID uid,以 root 用户身份输入以下命令:

    # firewall-cmd --remove-lockdown-whitelist-uid=uid
  • 要查询用户 ID uid 是否在 allowlist 中,请输入以下命令:

    $ firewall-cmd --query-lockdown-whitelist-uid=uid

    如果为 true,则打印 yes (退出状态为 0 ),否则打印 no,退出状态为 1

  • 要列出允许列表中的所有用户名,以 root 用户身份输入以下命令:

    # firewall-cmd --list-lockdown-whitelist-users
  • 要在允许列表中添加用户名 user,以 root 用户身份输入以下命令:

    # firewall-cmd --add-lockdown-whitelist-user=user
  • 要从允许列表中删除用户名 user,以 root 用户身份输入以下命令:

    # firewall-cmd --remove-lockdown-whitelist-user=user
  • 要查询用户名 user 是否在 allowlist 中,请输入以下命令:

    $ firewall-cmd --query-lockdown-whitelist-user=user

    如果为 true,则打印 yes (退出状态为 0 ),否则打印 no,退出状态为 1