Selinux的基本命令及練習

sjfbjs ? ? 學員作品

配置
SELinux

相關命令:

      getenforce: 獲取selinux當前狀態



      sestatus :查看selinux狀態



      setenforce 0|1






               1: 設置為enforcing

配置文件:

      /boot/grub/grub.conf



               使用

selinux=0禁用SELinux

      /etc/sysconfig/selinux



      /etc/selinux/config



      SELINUX={disabled|enforcing|permissive}

修改
SELinux安全標簽

給文件重新打安全標簽:

      chcon [OPTION]... [-u USER] [-r ROLE] [-t

TYPE] FILE…

      chcon [OPTION]... --reference=RFILE FILE...



      -R:遞歸打標;

恢復目錄或文件默認的安全上下文:

      restorecon [-R] /path/to/somewhere

默認安全上下文查詢與修改

semanage 來自 policycoreutils-python包

查看默認的安全上下文

      semanage fcontext –l

添加安全上下文 semanage fcontext -a –t httpd_sys_content_t

‘/testdir(/.*)?’

      restorecon –Rv /testdir

刪除安全上下文

      semanage fcontext           -d –t httpd_sys_content_t

‘/testdir(/.*)?’

Selinux端口標簽

查看端口標簽

semanage port –l

添加端口

semanage port -a -t port_label -p tcp|udp PORT

semanage port -a -t http_port_t -p tcp 9527 v

刪除端口

semanage port -d -t port_label -p tcp|udp PORT

semanage port -d -t http_port_t -p tcp 9527

修改

semanage port -m -t port_label -p tcp|udp PORT

semanage port -m -t http_port_t -p tcp 9527

SELinux布爾值

布爾型規則:

      getsebool



      setsebool

查看bool命令:

      getsebool [-a]



      semanage boolean –l



      semanage boolean -l –C 查看修改過的布爾值

設置bool值命令:

      setsebool [-P] boolean value  



      setsebool [-P] Boolean=value

SELinux 日志管理

yum install setroubleshoot* (重啟生效)

將錯誤的信息寫入
/var/log/message

grep setroubleshoot /var/log/messages

sealert -l UUID

查看安全事件日志說明

sealert -a /var/log/audit/audit.log

掃描并分析日志

SELinux幫助

yum -y install selinux-policy-devel 7

yum -y install selinux-policy-doc 6

mandb 7

Makewhatis 6

  • httpd服務,改變網站的默認主目錄為/website,添加SELinux文件標簽規則,設置http_sys_content_t到 /website及目錄下所有文件,使網站可訪問

   yum -y install httpd | policycoreutils-python | setroubleshoot |               selinux - policy -devel /doc
在用戶家目錄新建/website即可。
更改
     etc/httpd/conf/httpd.conf

將userdir disabled 禁用
將userdir 后跟的文件夾改為用戶家目錄的/website文件夾即可

為文件打上標簽。
         chcon -t  –t httpd_sys_content_t  ' /website(/.*)?'
         semanage fcontext -a –t httpd_sys_content_t  ' /website(/.*)?'

  • 修改網站端口為9527,增加SELinux端口標簽,使網站可訪問

         semanage port -m -t http_port_t -p tcp 9527

  • 啟用SELinux布爾值,使用戶student的家目錄可通過 http訪問

              setseboo boolean 1

原創文章,作者:sjfbjs,如若轉載,請注明出處:http://www.www58058.com/46617

(1)
sjfbjssjfbjs
上一篇 2016-09-19
下一篇 2016-09-19

相關推薦

  • 第六次作業

    1 、取本機ip地址 Centos6.8 ifconfig | head -2|tail -1|cut -d: -f2|cut -d" " -f1 ifconfig | head -2|tail -1|cut&…

    學員作品 2016-08-10

  • 【福利貼-招聘】- 維護工程師

    地點:黃浦–人民廣場  職位:技術支持/維護 要求:招1人| 大專| 1-2年 薪資范圍: 8-12k 職位職能:技術支持/維護工程師 崗位職責: 1.熟悉Linux及其遠程維護; 2.熟練掌握Linux網絡安裝、日常管理、安全、備份、恢復、故障處理、日志分析等技能; 3.熟悉Web、mysql優化管理、apache等常見的問題及處理 …

    Linux職位 2015-05-14

  • sed基本用法詳解

    一、sed介紹:        sed是非交互式的編輯器,同時又是面向字符流的,一次處理一行文本。當前輸入的行被緩存至一個被稱為模式空間(pattern space)的內存空間中,與給定的模式進行比對,若不匹配,則將內容輸出至屏幕,之后讀取第二行;若匹配,則執行編輯命令,命令執行完成后,將模式空間中…

    Linux干貨 2016-08-10

  • 【驚爆】馬哥linux2016最新全套課程(內部泄密版)

    你知道么,馬哥linux2016最新全套課程(內部泄密版)被曝光了,小編剛剛得到消息,然后就給大家分享出來了,大家快來點評下,話說2016版課程如何?且聽小編慢慢為你道來 全新內容,全新陣容,引入ELK和Docker內容,更加貼合生產環境應用,全新的Centos7搭載完善的實戰實驗室,強大的不像實力派,特別需要說明的一點:0首付0利率,機會不容錯過?。?! 高…

    學員作品 2015-10-21

  • 關于網絡幾個比較有意義的實驗

    這里我就偷懶,不寫過多的6上面的bind的過多步驟了,具體實現的功能就是一個bind1,當然我這里少配了一個網卡。另外一個網卡的配置格式參照eth0即可。 在這里我要重點說一下這個NETWORKMANNAGER這個程序,同學們最好在做的時候將其設置為關閉,具體方法chekconfig NtworkManager stopped 即可。 下面還有一個叫做網絡兩…

    學員作品 2016-09-07

  • linux sed命令

    linux sed命令 簡介: sed是一種流編輯器,它一次處理一行內容。處理時,把當前處理的行存儲在臨時緩沖區中,稱為“模式空間”(patternspace),接著用sed命令處理緩沖區中的內容,處理完成后,把緩沖區的內容送往屏幕。接著處理下一行,這樣不斷重復,直到文件末尾。文件內容并沒有改變,除非你使用重定向存儲輸出。Sed主要用來自動編輯一個或多個文件…

    學員作品 2016-08-10

評論列表(1條)

  • 馬哥教育
    馬哥教育 2016-09-20 14:37

    對命令的使用介紹的很全面,但是內容再充實點就好了。

欧美性久久久久