我不满意这个问题的答案:
$> sudo semanage port -d -p tcp -t foo... ValueError: Port foo is defined in policy, cannot be deleted 被接受的答案是
SELinux策略包括端口的定义…没有必要删除它们。
不需要删除它们。 好的,但我想要删除它们 – 我希望SELinux可用性的端口匹配端口的实际可用性,只是为了一致性的缘故。
如何semanage port -d在策略中定义的端口? (在我的情况下,SSH。)
你的select是为SSHbuild立你自己的策略模块,删除端口被标记的部分。
由于您现在可以加载指定优先级的策略模块,所以您的自定义模块将具有更高的优先级。 检查详细信息的semodule手册页中的-X,--priority=PRIORITY标志。
为了logging,我同意迈克尔·汉普顿(Michael Hampton)的意见,即不需要从政策中删除这个端口。 它根本不会增加系统的安全性,因为有多种方式可以增加或放松SSH服务器的安全性(如SELinux相关的)pipe理,即:先删除OpenSSH服务器, 标记stream量 ,或者在另一个方向上,将SSH服务器放在允许域中 。