己所不欲,勿施于人 [登录·注册]

吕滔博客

首页 开发 运维 工具 摄影

关于CentOS/RHEL中SELinux的相关学习记录整理

linux入门教程 memory 发布于December 19, 2016 标签: CentOS, Linux

很多运维人出于方便,将seLinux默认给关闭了,我以前也这样干,后来发现,在内网这样干的确挺省事儿,但公网服务器这样干了,的确有点SB,所以这儿分享一些关于SELinux的学习笔记的整理文档

配置文件路径

/etc/sysconfig/seLinux

SELinux配置文件中可修改项有两项
开机的三种状态

SELINUX = Enforcing  (默认)

Disabled    : 停用SELinux功能
Permissive  : 仅显示警告信息,不阻止
Enforcing   : 强制执行SELinux功能,产生警告信息
SELINUXTYPE=targeted

strict    : 完整的保护功能,包含网络服务,一般指令及应用程序
targeted  : 保护网络相关服务

网络相关服务包括

dhcpd
httpd
mysqld
named
nscd
ntpd
portmap
postgres
snmpd
squid
syslogd

SELinux相关命令

sestatus #查看SELinux的状态
sestatus -b#查看application管理状态
getenforce #显示目前SELinux工作模式
setenforce 0#临时将SELinux模式设为宽容模式
setenforce 1#临时将SELinux模式设为强制模式
注:setenforce必需在SELinux enable状态才有用
ls -Z 文档名#查看SELinux对档案管理状态
ls -dZ 资料夹#查看SELinux对资料夹管理状态
chcon#变更档案、资料夹管理
getsebool#查看application管理状态
setsebool#变更application管理
restorecon#恢复成原有的SELinux type
semanage#安全性文件的查询与修改
semanage port -l |grep http#查看SELinux管理http套件所使用的端口
semanage port -a -t http_port_t -p tcp 90#加入90端口给httpd使用
注:必需安装policycoreutils-python套件,在加入Port时需先检查该port是否已经被使用了。
seinfo#查看政策中规则数量
注:必需安装setools-console套件
sealert -l **#SELinux错误信息详细列出,**为错误代码。
注:必需安装setroubleshoot及setroubleshoot-server套件,安装完后需要重启系统。

查看SELinux状态

sestatus

getenforce

SELinux 使用思路 在SELinux开启的情况下,配置vsftpd服务

1】设置SELinux 允许模式

setenforce  Permissive

2】安装启动vsftpd 服务

yum install vsftpd -y
service vsftpd start

3】测试
匿名登录并下载
使用本地用户登录,并下载,上传
4】设置SELinux 强制模式

setenforce Enforcing

5】再次测试相关功能
匿名用户登录并下载 仍然可以
使用本地用户登录,并下载,上传 --- 被拒绝
6】配置SELinux,放行需要的功能
6.1】方法一 看日志
正常情况下 日志会在服务器的 /var/log/messages 文件中存在
还会在 /var/log/audit/audit.log 存在
查看日志

tail /var/log/messages
sealert -l xxxxxxxxxxxxxxxxxxxx
sealert -a /var/log/audit/audit.log

日志中提示说

setsebool -P ftp_home_dir=1

6.2】方法二 看man手册

man -k ftp | grep selinux
man 8 ftp_selinux

相关推荐

添加新评论

全部评论:仅有一条评论

  1. zhaoliang0112

    希望能够有个系统的教程,就不要在去网上找了,直接这里学习!! :)

网站状态

  • 栏目分类:49个
  • 发布文章:1553篇
  • 用户评论:834条
  • 开博至今:4337天

正则速查

[abc] 匹配中括号中的单个字符,如a或b或c
[^abc] 匹配除了a、b、c等字符的其他单个字符
[a-z] 匹配一个字符范围,如a到z
[a-zA-Z] 匹配一个字符范围,如a-z 或 A-Z
^ 匹配行的开始
$ 匹配行的结束
\A 匹配一个字符串的开始
\z 匹配一个字符串的结束
. 匹配任意单个字符
\s 匹配空白字符,如空格,TAB
\S 匹配非空白字符
\d 匹配一个数字
\D 匹配非数字
\w 匹配一个字母
\W 匹配非字母
\b 匹配字符边界
(...) 引用所有括号中的内容
(a|b) a或者b
a? 零个或1个a
a* 零个或多个a
a+ 1个或多个a
a{3} 3次重复的a
a{3,} 3次或3次以上重复的a
a{3,6} 3到6次重复的a

修正符

/g 查找所有可能的匹配
/i 不区分大小写
/m 多行匹配
/s 单行匹配
/x 忽略空白模式
/e 可执行模式,PHP专有
/A 强制从目标字符串开头匹配
/D 使用$限制结尾字符,则不允许结尾有换行
/U 只匹配最近的一个字符串;不重复匹配

最新回复

  • 小云: 不错
  • tper: 你列子中按分类归档的图片,每个分类下面显示分类下的文章的代码是怎...
  • 小云: 写的很不错
  • 女装品牌: 文章不错支持一下
  • memory: 升级之后不能访问是密码套件的事儿。其实可以配置好一个写公共文件引...
  • 欧文斯: 很奇怪,都升级之后 443 SSL 加密不能访问,其他端口却可以
  • 子午书屋: 好久没使用memcache了
  • 小云: 写的不错,谢谢分享
  • yiye: 楼主你好,不知道我回复的邮件您看到没?我下载的JPress不是最...
  • memory: 海哥最近更新的新版的我还没有测试过。具体原因还不清楚。不过你可能...
  • yiye: 楼主,我下的是最新的官方mysql镜像,然后密码用户名都正确,数...
  • memory: 这个是15年的文章了,这几年不知道有没有变化 。 你可以根据错误...
  • nice: 请教下这个评论审核提示代码是直接在评论模板调用的吗,我直接用了...
  • vultr: 学习了
  • 小云: 厉害,实用
  • memory: NND。自己写的看不懂了。。。
  • memory: 服务器上的一个配置.