没有哪种教育能及得上逆境 [登录·注册]

吕滔博客

首页 开发 运维 工具 摄影

关于CentOS/RHEL中SELinux的相关学习记录整理

linux入门教程 memory 发布于December 19, 2016 标签: CentOS, Linux

很多运维人出于方便,将seLinux默认给关闭了,我以前也这样干,后来发现,在内网这样干的确挺省事儿,但公网服务器这样干了,的确有点SB,所以这儿分享一些关于SELinux的学习笔记的整理文档

配置文件路径

/etc/sysconfig/seLinux

SELinux配置文件中可修改项有两项
开机的三种状态

SELINUX = Enforcing  (默认)

Disabled    : 停用SELinux功能
Permissive  : 仅显示警告信息,不阻止
Enforcing   : 强制执行SELinux功能,产生警告信息
SELINUXTYPE=targeted

strict    : 完整的保护功能,包含网络服务,一般指令及应用程序
targeted  : 保护网络相关服务

网络相关服务包括

dhcpd
httpd
mysqld
named
nscd
ntpd
portmap
postgres
snmpd
squid
syslogd

SELinux相关命令

sestatus #查看SELinux的状态
sestatus -b#查看application管理状态
getenforce #显示目前SELinux工作模式
setenforce 0#临时将SELinux模式设为宽容模式
setenforce 1#临时将SELinux模式设为强制模式
注:setenforce必需在SELinux enable状态才有用
ls -Z 文档名#查看SELinux对档案管理状态
ls -dZ 资料夹#查看SELinux对资料夹管理状态
chcon#变更档案、资料夹管理
getsebool#查看application管理状态
setsebool#变更application管理
restorecon#恢复成原有的SELinux type
semanage#安全性文件的查询与修改
semanage port -l |grep http#查看SELinux管理http套件所使用的端口
semanage port -a -t http_port_t -p tcp 90#加入90端口给httpd使用
注:必需安装policycoreutils-python套件,在加入Port时需先检查该port是否已经被使用了。
seinfo#查看政策中规则数量
注:必需安装setools-console套件
sealert -l **#SELinux错误信息详细列出,**为错误代码。
注:必需安装setroubleshoot及setroubleshoot-server套件,安装完后需要重启系统。

查看SELinux状态

sestatus

getenforce

SELinux 使用思路 在SELinux开启的情况下,配置vsftpd服务

1】设置SELinux 允许模式

setenforce  Permissive

2】安装启动vsftpd 服务

yum install vsftpd -y
service vsftpd start

3】测试
匿名登录并下载
使用本地用户登录,并下载,上传
4】设置SELinux 强制模式

setenforce Enforcing

5】再次测试相关功能
匿名用户登录并下载 仍然可以
使用本地用户登录,并下载,上传 --- 被拒绝
6】配置SELinux,放行需要的功能
6.1】方法一 看日志
正常情况下 日志会在服务器的 /var/log/messages 文件中存在
还会在 /var/log/audit/audit.log 存在
查看日志

tail /var/log/messages
sealert -l xxxxxxxxxxxxxxxxxxxx
sealert -a /var/log/audit/audit.log

日志中提示说

setsebool -P ftp_home_dir=1

6.2】方法二 看man手册

man -k ftp | grep selinux
man 8 ftp_selinux

相关推荐

添加新评论

全部评论:仅有一条评论

  1. zhaoliang0112

    希望能够有个系统的教程,就不要在去网上找了,直接这里学习!! :)

网站状态

  • 栏目分类:49个
  • 发布文章:1550篇
  • 用户评论:820条
  • 开博至今:4283天

正则速查

[abc] 匹配中括号中的单个字符,如a或b或c
[^abc] 匹配除了a、b、c等字符的其他单个字符
[a-z] 匹配一个字符范围,如a到z
[a-zA-Z] 匹配一个字符范围,如a-z 或 A-Z
^ 匹配行的开始
$ 匹配行的结束
\A 匹配一个字符串的开始
\z 匹配一个字符串的结束
. 匹配任意单个字符
\s 匹配空白字符,如空格,TAB
\S 匹配非空白字符
\d 匹配一个数字
\D 匹配非数字
\w 匹配一个字母
\W 匹配非字母
\b 匹配字符边界
(...) 引用所有括号中的内容
(a|b) a或者b
a? 零个或1个a
a* 零个或多个a
a+ 1个或多个a
a{3} 3次重复的a
a{3,} 3次或3次以上重复的a
a{3,6} 3到6次重复的a

修正符

/g 查找所有可能的匹配
/i 不区分大小写
/m 多行匹配
/s 单行匹配
/x 忽略空白模式
/e 可执行模式,PHP专有
/A 强制从目标字符串开头匹配
/D 使用$限制结尾字符,则不允许结尾有换行
/U 只匹配最近的一个字符串;不重复匹配

最新回复

  • 小云: 厉害,实用
  • memory: NND。自己写的看不懂了。。。
  • memory: 服务器上的一个配置.
  • haha: 是在主机端还是从机端设置
  • wu先生: 收藏备用。
  • memory: 哈哈,无所谓了。。。早改了
  • 文小刀: 真的是很标题
  • 进击的巨波: 终于找到一篇真正行的通的安装git文档,写的非常详细,感谢!
  • memory: 可以邮件告知一下具体错误给我。你可以在本地先测试一下。我这样测试...
  • 钛客志: 你好博主,我是按照你的方法设置,但是老是出错,要么站点出问题,不...
  • 小云: 受教了
  • memory: 这是个扩展,安装就有了.
  • andy: $oauth = new OAuth($conskey,$con...
  • 王者上不了: Chew_WGA v0.9可永久激活,亲测过
  • 小云: 打卡
  • 小云: 不错啊,收藏起来先
  • 小云: 收藏,很不错