Selinux的基本命令及练习

sjfbjs 学员作品

配置
SELinux

相关命令:

      getenforce: 获取selinux当前状态



      sestatus :查看selinux状态



      setenforce 0|1






               1: 设置为enforcing

配置文件:

      /boot/grub/grub.conf



               使用

selinux=0禁用SELinux

      /etc/sysconfig/selinux



      /etc/selinux/config



      SELINUX={disabled|enforcing|permissive}

修改
SELinux安全标签

给文件重新打安全标签:

      chcon [OPTION]... [-u USER] [-r ROLE] [-t

TYPE] FILE…

      chcon [OPTION]... --reference=RFILE FILE...



      -R:递归打标;

恢复目录或文件默认的安全上下文:

      restorecon [-R] /path/to/somewhere

默认安全上下文查询与修改

semanage 来自 policycoreutils-python包

查看默认的安全上下文

      semanage fcontext –l

添加安全上下文 semanage fcontext -a –t httpd_sys_content_t

‘/testdir(/.*)?’

      restorecon –Rv /testdir

删除安全上下文

      semanage fcontext           -d –t httpd_sys_content_t

‘/testdir(/.*)?’

Selinux端口标签

查看端口标签

semanage port –l

添加端口

semanage port -a -t port_label -p tcp|udp PORT

semanage port -a -t http_port_t -p tcp 9527 v

删除端口

semanage port -d -t port_label -p tcp|udp PORT

semanage port -d -t http_port_t -p tcp 9527

修改

semanage port -m -t port_label -p tcp|udp PORT

semanage port -m -t http_port_t -p tcp 9527

SELinux布尔值

布尔型规则:

      getsebool



      setsebool

查看bool命令:

      getsebool [-a]



      semanage boolean –l



      semanage boolean -l –C 查看修改过的布尔值

设置bool值命令:

      setsebool [-P] boolean value  



      setsebool [-P] Boolean=value

SELinux 日志管理

yum install setroubleshoot* (重启生效)

将错误的信息写入
/var/log/message

grep setroubleshoot /var/log/messages

sealert -l UUID

查看安全事件日志说明

sealert -a /var/log/audit/audit.log

扫描并分析日志

SELinux帮助

yum -y install selinux-policy-devel 7

yum -y install selinux-policy-doc 6

mandb 7

Makewhatis 6

  • httpd服务,改变网站的默认主目录为/website,添加SELinux文件标签规则,设置http_sys_content_t到 /website及目录下所有文件,使网站可访问

   yum -y install httpd | policycoreutils-python | setroubleshoot |               selinux - policy -devel /doc
在用户家目录新建/website即可。
更改
     etc/httpd/conf/httpd.conf

将userdir disabled 禁用
将userdir 后跟的文件夹改为用户家目录的/website文件夹即可

为文件打上标签。
         chcon -t  –t httpd_sys_content_t  ' /website(/.*)?'
         semanage fcontext -a –t httpd_sys_content_t  ' /website(/.*)?'

  • 修改网站端口为9527,增加SELinux端口标签,使网站可访问

         semanage port -m -t http_port_t -p tcp 9527

  • 启用SELinux布尔值,使用户student的家目录可通过 http访问

              setseboo boolean 1

原创文章,作者:sjfbjs,如若转载,请注明出处:http://www.178linux.com/46617

(1)
sjfbjssjfbjs
1
上一篇 2016-09-19
下一篇 2016-09-19

相关推荐

  • 马哥团队带你领略阿里风景

    马哥团队带你揭秘互联网巨头公司—阿里巴巴 继马哥团队腾讯一行之后,4月中旬我们又来到了坐落于杭州的另一个互联网巨头公司。 波涛万里长江水,带你入杭州。 真情伴你走,春色为你留。 西湖烟水茫茫,百顷风潭,十里荷香。 风景甚好,怎能不去杭州的阿里巴巴转转呢? 带着“淡妆”,走,跟着我们前行…… 马哥更是笑道:“我们这次来是和马云谈合作的!让我们培训出来的更多同学…

    学员作品 2015-04-29

  • linux磁盘管理及其磁盘分区工具的使用

    一、 几种分区工具: 1.图形化工具gnome-disks使用简单,在此不在赘述。 2.fdisk使用: fdisk支持MBR,也支持GPT分区,对于一块硬盘最多只能理解15个分区,一般使用fdisk做MBR分区,gdisk做GPT分区。下面为fdisk分区示例: [root@centos7 ~]# fdisk /dev/sde…

    Linux干货 2016-08-29
  • sed命令详解 学员作品

    sed命令详解

    sed命令:  Stream EDitor, 行编辑器  sed是一种流编辑器,它是文本处理中非常中的工具,能够完美的配合正则表达式使用,功能不同凡响。处理时,把当前处理的行存储在临时缓冲区中,称为“模式空间”(pattern space),接着用sed命令处理缓冲区中的内容,处理完成后,把缓冲区的内容送往屏幕。接着处理下一行,这样不断重…

    2016-08-10

  • 马哥教育网络班20期-第九周课程作业

    1、写一个脚本,判断当前系统上所有用户的shell是否为可登录shell(即用户的shell不是/sbin/nologin);分别这两类用户的个数;通过字符串比较来实现; #!/bin/bash nologinsum=$(awk -F: '$NF~/\/sbin\/nologin$/{print $1}'&n…

    学员作品 2016-09-08

  • 马哥教育网络班20期+第10周博客作业

    4、写一个脚本   (1) 能接受四个参数:start, stop, restart, status    start: 输出“starting 脚本名 finished.”    …   (2) 其它任意参数,均报错退出;     #!bin/b…

    学员作品 2016-12-05

  • 关于shell变量计算中单中括号与双中括号、单引号与双引号的一些看法

      单中括号是比较基本的变量计算及数值比较的方法,一般情况下已经足够使用;双中括号是扩展的数值比较方法,里面的数值计算也相对来说复杂些。这里我推荐大家平常工作中使用单中括号即可,满足日常的工作,不做运维开发的话,双括号方面涉及不多。   这里我还得提下单括号与双括号,这里也是我经常混淆的地方,其实理解了也就轻松多了。单括号是对一段比较长的…

    学员作品 2016-08-15

评论列表(1条)

  • 马哥教育
    马哥教育 2016-09-20 14:37

    对命令的使用介绍的很全面,但是内容再充实点就好了。

电话咨询
在线咨询