没有哪种教育能及得上逆境 [登录·注册]

吕滔博客

首页 开发 运维 工具 摄影

关于CentOS/RHEL中SELinux的相关学习记录整理

linux入门教程 memory 发布于December 19, 2016 标签: CentOS, Linux

很多运维人出于方便,将seLinux默认给关闭了,我以前也这样干,后来发现,在内网这样干的确挺省事儿,但公网服务器这样干了,的确有点SB,所以这儿分享一些关于SELinux的学习笔记的整理文档

配置文件路径

/etc/sysconfig/seLinux

SELinux配置文件中可修改项有两项
开机的三种状态

SELINUX = Enforcing  (默认)

Disabled    : 停用SELinux功能
Permissive  : 仅显示警告信息,不阻止
Enforcing   : 强制执行SELinux功能,产生警告信息
SELINUXTYPE=targeted

strict    : 完整的保护功能,包含网络服务,一般指令及应用程序
targeted  : 保护网络相关服务

网络相关服务包括

dhcpd
httpd
mysqld
named
nscd
ntpd
portmap
postgres
snmpd
squid
syslogd

SELinux相关命令

sestatus #查看SELinux的状态
sestatus -b#查看application管理状态
getenforce #显示目前SELinux工作模式
setenforce 0#临时将SELinux模式设为宽容模式
setenforce 1#临时将SELinux模式设为强制模式
注:setenforce必需在SELinux enable状态才有用
ls -Z 文档名#查看SELinux对档案管理状态
ls -dZ 资料夹#查看SELinux对资料夹管理状态
chcon#变更档案、资料夹管理
getsebool#查看application管理状态
setsebool#变更application管理
restorecon#恢复成原有的SELinux type
semanage#安全性文件的查询与修改
semanage port -l |grep http#查看SELinux管理http套件所使用的端口
semanage port -a -t http_port_t -p tcp 90#加入90端口给httpd使用
注:必需安装policycoreutils-python套件,在加入Port时需先检查该port是否已经被使用了。
seinfo#查看政策中规则数量
注:必需安装setools-console套件
sealert -l **#SELinux错误信息详细列出,**为错误代码。
注:必需安装setroubleshoot及setroubleshoot-server套件,安装完后需要重启系统。

查看SELinux状态

sestatus

getenforce

SELinux 使用思路 在SELinux开启的情况下,配置vsftpd服务

1】设置SELinux 允许模式

setenforce  Permissive

2】安装启动vsftpd 服务

yum install vsftpd -y
service vsftpd start

3】测试
匿名登录并下载
使用本地用户登录,并下载,上传
4】设置SELinux 强制模式

setenforce Enforcing

5】再次测试相关功能
匿名用户登录并下载 仍然可以
使用本地用户登录,并下载,上传 --- 被拒绝
6】配置SELinux,放行需要的功能
6.1】方法一 看日志
正常情况下 日志会在服务器的 /var/log/messages 文件中存在
还会在 /var/log/audit/audit.log 存在
查看日志

tail /var/log/messages
sealert -l xxxxxxxxxxxxxxxxxxxx
sealert -a /var/log/audit/audit.log

日志中提示说

setsebool -P ftp_home_dir=1

6.2】方法二 看man手册

man -k ftp | grep selinux
man 8 ftp_selinux

相关推荐

添加新评论

全部评论:仅有一条评论

  1. zhaoliang0112

    希望能够有个系统的教程,就不要在去网上找了,直接这里学习!! :)

网站状态

  • 栏目分类:49个
  • 发布文章:1542篇
  • 用户评论:798条
  • 开博至今:4222天

正则速查

[abc] 匹配中括号中的单个字符,如a或b或c
[^abc] 匹配除了a、b、c等字符的其他单个字符
[a-z] 匹配一个字符范围,如a到z
[a-zA-Z] 匹配一个字符范围,如a-z 或 A-Z
^ 匹配行的开始
$ 匹配行的结束
\A 匹配一个字符串的开始
\z 匹配一个字符串的结束
. 匹配任意单个字符
\s 匹配空白字符,如空格,TAB
\S 匹配非空白字符
\d 匹配一个数字
\D 匹配非数字
\w 匹配一个字母
\W 匹配非字母
\b 匹配字符边界
(...) 引用所有括号中的内容
(a|b) a或者b
a? 零个或1个a
a* 零个或多个a
a+ 1个或多个a
a{3} 3次重复的a
a{3,} 3次或3次以上重复的a
a{3,6} 3到6次重复的a

修正符

/g 查找所有可能的匹配
/i 不区分大小写
/m 多行匹配
/s 单行匹配
/x 忽略空白模式
/e 可执行模式,PHP专有
/A 强制从目标字符串开头匹配
/D 使用$限制结尾字符,则不允许结尾有换行
/U 只匹配最近的一个字符串;不重复匹配

最新回复

  • : 感谢,我现在才知道还有快捷键这个东东!!!
  • 1: 天书啊
  • memory: 可以去官方网站找找手册了,好久不玩它了.
  • xiaoyan: 怎么解决的啊
  • 银行建设: 生产环境应该怎么搭建redis集群呢?
  • memory: 好久没折腾WIN了?不确认哟。
  • 虫虫: tomcat apache nginx能装吗
  • 咚咚: 开源的放一个吧
  • memory: 好几年不更新了。。。
  • liqitian: 不能用呀
  • 广州网站建设: 了解
  • memory: 这是测试,不建议正式环境这样使。
  • 广州网站建设: 构建redis集群时候,不要使用生产环境
  • memory: 照着大差不着的改一下就成了rewrite ^/sort/([0-...
  • mage: 按照上面设置的伪静态url是类似这种形式的 /listinfo-...
  • mage: 比如这种URL:帝国7.5伪静态如何可以做到这种形式(拼音或者英...
  • memory: 额,难住我了,哈哈。我项目中没有用过这么复杂的。