linux系統自動化安裝和selinux

shewei ? ? Linux干貨

系統自動化安裝:
 Anaconda 安裝系統分成三個階段:
  安裝前配置階段
安裝過程使用的語言
鍵盤類型
安裝目標存儲設備
Basic Storage :本地磁盤
特殊設備:iSCSI
設定主機名
配置網絡接口
時區
管理員密碼x
設定分區方式及MBR 的安裝位置
創建一個普通用戶
選定要安裝的程序包

創建引導光盤:
#cp /media/cdrom/isolinux/ /tmp/myiso/
#vi /tmp/myiso/isolinux/isolinux.cfg
initrd=initrd.img text ks=cdrom:/myks.cfg
#cp /root/myks.cfg /tmp/myiso/
#cd /tmp
# mkisofs -R -J -T -v –no-emul-boot –boot-load-size 4 –boot-info-table -V “CentOS 6.8 x86_64 boot” -b isolinux/isolinux.bin -c isolinux/boot.cat -o /root/boot.iso myiso/              

  #直接使用此光碟引導自動安裝

    裝完后建議轉換混合模式:安裝包syslinux      執行命令:isohybrid   boot.iso

需要準備好應答文件,制作方法基本差不多,可以使用現成的,也可以自己制作創建U 盤啟動盤
#dd if=/dev/sr0 of=/dev/sdb

selinux介紹:
Linux 的一個強制訪問控制的安全模塊。2000年以GNU GPL 發布,
Linux內核2.6版本后集成在內核中

DAC :Discretionary Access Control 自由訪問控制
MAC :Mandatory Access Control  強制訪問控制
? DAC 環境下進程是無束縛的
? MAC 環境下策略的規則決定控制的嚴格程度
? MAC 環境下進程可以被限制的
? 策略被用來定義被限制的進程能夠使用那些資源(文件和端口)
? 默認情況下,沒有被明確允許的行為將被拒絕

SELinux 有四種工作類型:
 strict: centos5, 每個進程都受到selinux 的控制
 targeted:  用來保護常見的網絡服務, 僅有限進程受到selinux 
    控制,只監控容易被入侵的進程,centos4 只保護13個服務,centos5 保護88 個服務
 minimum :centos7, 修改的targeted ,只對選擇的網絡服務
 mls: 提供MLS (多級安全)機制的安全性
 targeted 為默認類型,minimum 和mls 穩定性不足,未加以應用,strict

傳統Linux,一切皆文件,由用戶,組,權限控制訪問在SELinux中,一切皆對象( object)
           由存放在inode的擴展屬性域的安全元素所控制其訪問
           所有文件和端口資源和進程都具備安全標簽: 
            安全上下文(security context)
 安全上下文有五個元素組成:
 user:role:type:sensitivity:category
 user_u:object_r:tmp_t:s0:c0
 實際上下文:存放在文件系統中,ls –Z;ps –Z
 期望( 默認)上下文存放在二進制的SELinux 策略庫(映射目錄和期望安全上下文)中
   semanage fcontext –l

selinu文件標簽,cp 繼承目標目錄context
                mv 保留原有context(標簽)

 Semanage :來自policycoreutils-python包 包
  查看默認的安全上下文
semanage fcontext –l
  添加安全上下文
semanage fcontext -a –t httpd_sys_content_t
‘/testdir(/.)?’
restorecon –Rv /testdir
  刪除安全上下文
semanage fcontext -d –t httpd_sys_content_t
‘/testdir(/.)?’

查看端口標簽
semanage port –l
  添加端口
semanage port -a -t  port_label -p  tcp|udp PORT
semanage port -a -t http_port_t -p tcp 9527
  刪除端口
semanage port -d -t  port_label -p  tcp|udp PORT
semanage port -d -t http_port_t -p tcp 9527
  修改現有端口為新標簽
semanage port -m -t  port_label -p  tcp|udp PORT
semanage port -m -t http_port_t -p tcp 9527

selinux布爾值:
布爾型規則:
getsebool
setsebool
  查看bool 命令:
getsebool [-a] [boolean]
semanage boolean –l
semanage boolean -l –C  查看修改過的布爾值
  設置bool 值命令:
setsebool [-P] boolean value (on,off) )
setsebool [-P] Boolean=value (0 ,1)

原創文章,作者:shewei,如若轉載,請注明出處:http://www.www58058.com/72628

(0)
sheweishewei
上一篇 2017-04-05 22:19
下一篇 2017-04-06 12:55

相關推薦

  • 磁盤管理(SWAP、dd、quota、RAID、LVM)

    2016-08-26: 授課內容: 1、SWAP交換分區的創建 2、dd命令的使用 3、設定文件系統配額 4、設定和管理軟RAID設備 5、配置邏輯卷、邏輯卷快照 1、swap (1)SWAP分區:模擬內存,當物理內存不足時,進程需要內存資源是,內存會把一部分沒有在用的進程分頁挪到硬盤的模擬內存中,騰出空間被現在需要使用內存資源的進程 即其作用是可以允許內存…

    Linux干貨 2016-09-01

  • linux獲取”命令幫助“

    一、相關術語:         外部命令:一個可執行程序,位于文件系統某目錄下;是系統為了完善各種功能而加入的程序。         內部命令:系統shell程序的部分程序。內部命令執行速度非??欤洹?/p>

    Linux干貨 2016-06-09

  • bash工作特性之命令執行狀態返回值與命令行展開概述

    bash工作特性之命令執行狀態返回值與命令行展開概述 bash是什么? shell是一種用戶接口程序,提供了用戶與內核進行交互的接口。shell可以分為兩類:一類為GUI,即用戶圖形界面;另一類為CLI,即命令行接口,將用戶的命令送入到內核去執行,大多數發行版中最常用的就是bash。 bash特性 命令執行狀態返回值 bash通過狀態返回值來輸出結果: 命令…

    Linux干貨 2017-07-09

  • Linux之旅1

    Linux之旅1  一、描述計算機的組成及其功能 計算機的組成: 1、計算機主要由:CPU(控制器、運算器)、存儲器、輸入設備、和輸出設備(輸入設備、和輸出設備又稱為I/O設備)四部分組成; 計算機個組成部分的功能: CPU:主要有控制器和運算器組成; 控制器:控制器是整個計算機的中樞神經;其功能是對程序規定的控制信息進行解釋,根據其要求進行控制,…

    2016-09-12

  • pam_mysql認證ftp虛擬用戶賬號,且擁有不同的權限

    關防火墻:#systemctl stop firewalld                #setenforce 0 #yum install mariadb.server #yum install mariadb-d…

    Linux干貨 2017-06-07

  • 描述器

    Edit 描述器 |[Descriptors] 描述器的表現 用到3個魔術方法:__get__()、__set__()、__delete__() 方法用法: object.__get__(self,instance,owner) object.__set__(self,instance,value) object.__delete__(self,instan…

    Linux干貨 2017-11-29
欧美性久久久久