6.12.2. 使用 CLI 配置锁定允许列表选项

上下文是正在运行的应用程序或服务的安全（SELinux）上下文。要获得正在运行的应用程序的上下文，请使用以下命令：

$ ps -e --context

该命令返回所有正在运行的应用程序。通过 grep 工具管道输出以便获取您感兴趣的应用程序。例如：

$ ps -e --context | grep example_program

要列出允许列表中的所有命令行，以 root 用户身份输入以下命令：

# firewall-cmd --list-lockdown-whitelist-commands

要在允许列表中添加 命令 command，以 root 用户身份输入以下命令：

# firewall-cmd --add-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'

要从允许列表中删除 命令 命令，以 root 用户身份输入以下命令：

# firewall-cmd --remove-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'

要查询命令命令是否在 允许列表中，以 root 用户身份输入以下命令：

# firewall-cmd --query-lockdown-whitelist-command='/usr/bin/python3 -Es /usr/bin/command'

如果为 true，该命令将输出 yes，退出状态为 0。否则，将不会 打印退出状态 1。

要列出允许列表中的所有安全上下文，以 root 用户身份输入以下命令：

# firewall-cmd --list-lockdown-whitelist-contexts

要在允许列表中添加 上下文 context，以 root 用户身份输入以下命令：

# firewall-cmd --add-lockdown-whitelist-context=context

要从允许列表中删除 上下文 context，以 root 用户身份输入以下命令：

# firewall-cmd --remove-lockdown-whitelist-context=context

要查询上下文 上下文 是否在允许列表中，以 root 用户身份输入以下命令：

# firewall-cmd --query-lockdown-whitelist-context=context

如果为 true，则打印 yes （退出状态为 0 ），否则打印 no，退出状态为 1。

要列出允许列表中的所有用户 ID，以 root 用户身份输入以下命令：

# firewall-cmd --list-lockdown-whitelist-uids

要在允许列表中添加用户 ID uid，以 root 用户身份输入以下命令：

# firewall-cmd --add-lockdown-whitelist-uid=uid

要从允许列表中删除用户 ID uid，以 root 用户身份输入以下命令：

# firewall-cmd --remove-lockdown-whitelist-uid=uid

要查询用户 ID uid 是否在 allowlist 中，请输入以下命令：

$ firewall-cmd --query-lockdown-whitelist-uid=uid

如果为 true，则打印 yes （退出状态为 0 ），否则打印 no，退出状态为 1。

要列出允许列表中的所有用户名，以 root 用户身份输入以下命令：

# firewall-cmd --list-lockdown-whitelist-users

要在允许列表中添加用户名 user，以 root 用户身份输入以下命令：

# firewall-cmd --add-lockdown-whitelist-user=user

要从允许列表中删除用户名 user，以 root 用户身份输入以下命令：

# firewall-cmd --remove-lockdown-whitelist-user=user

要查询用户名 user 是否在 allowlist 中，请输入以下命令：

$ firewall-cmd --query-lockdown-whitelist-user=user

如果为 true，则打印 yes （退出状态为 0 ），否则打印 no，退出状态为 1。