實驗目標:通過本實驗認識selinux並掌握selinux的配置與管理。selinux是linux的安全增強機制,以防***控制某個程序,比如http程序,然後通過程序來對系統進行破壞。所以每個檔案是否可以被某程序操作、需要在檔案的selinux標籤中進行標記。
實驗步驟:1、 檢視selinux執行狀態,然後關閉selinux,再開啟selinux2、 使系統開機時預設開啟selinux3、 建立新目錄/docroot,將/docroot的selinux上下文設定為public_content_t
參考命令:一、開啟/關閉selinux
getenforce:檢視selinux執行狀態setenforce 0 :關閉selinuxsetenforce 1 :開啟selinux系統啟動時預設開啟或關閉編輯檔案/etc/selinux/config進行設定
enforcing 開啟disabled 關閉permissive 警告但不攔截
二、配置selinux1、 標記目錄的selinux許可權
格式:semanage fcontext –a –t 標籤名 目錄名
標籤名如 samba_share_t(允許samba讀寫) httpd_sys_content_t(允許http程序讀寫)等,都是固定的。這裡的標籤名也叫selinux安全上下文。
目錄名的書寫格式 /common(/.*)? 代表/common下的所有檔案
-a 新增 -t 規則型別為selinux上下文 這兩個引數都會帶2、重新整理目錄的selinux許可權
selinux配置
格式:restorecon –rv 目錄名引數r:遞迴,目錄下的所有檔案均執行引數v:將結果顯示在螢幕
3、ls –z 檢視結果
可以讀取的檔案和目錄型別是 public_content_t。其他服務如 apache、samba 和 nfs 也可以,但是 public_content_t 型別的檔案不能被寫入,即使 linux 許可權允許。如果你需要寫入或者修改,必須使用 public_content_rw_t 的型別。public_content_rw_t:可以讀取和寫入的檔案和目錄型別是 public_content_rw_t,其他服務其他服務如 apache,samba 和 nfs 也可以,不過必須開放相關的布林變數。
檢視SELinux狀態 關閉SELinux
1.1 getenforce 1.2 usr sbin sestatus current mode表示當前selinux防火牆的安全策略 root localhost usr sbin sestatus selinux status enabled selinuxfs mount sys fs se...
檢視Selinux和關閉Selinux
selinux的檢視和設定 1.1 getenforce 1.2 usr sbin sestatus current mode表示當前selinux防火牆的安全策略 root localhost usr sbin sestatus selinux status enabled selinuxfs m...
RHCE練習題 1 配置SeLinux
環境說明 您有三颱虛擬機器,分別是classroom rh254,server rh254,desktop rh254。三颱虛擬主機的網路和主機名已經配置好,均位於example.com 172.25.0.0 24 域中。另外my133t.org 172.17.10.0 24 作為非信任域。除了考試...