security enhanced linux(selinux)是乙個額外的系統安全層,主要目的是防止已遭洩露的系統服務訪問使用者資料。
對於乙個服務來說,要關注selinux的三個方面,一是檔案selinux安全上下文中的型別欄位要和服務的型別字段匹配,二是服務selinux允許埠,三是服務某個功能的布林值。
下面以http服務為例子,一一闡述。
1.安裝httpd包,檢視是否安裝成功 rpm -qa | grep http
2.編輯配置檔案,這裡我們需要3個頁面,因此需要準備3太虛擬主機,分別提供3個頁面做測試。由於虛擬主機不能和本機一起使用,所以關閉本機服務。
:wq3.由於防火牆規則限制,我們先開放httpd服務
4.準備3個頁面
vim /var/www/html/index.html
:wqvim /var/www/html2/index.html
:wqvim /html3/index.html
:wq5.重啟httpd服務
job for httpd.service failed. see 'systemctl status httpd.service' and 'journalctl -xn' for details.重啟失敗,是什麼原因呢,根據系統提示檢視日誌
6.journalctl -xn
可以看到有段提示,這就是我們前面講的埠問題,需要在selinux中允許服務使用此埠
7.可以使用命令檢視http服務埠的型別名
8.依據埠名新增使用埠
9.修改完成後再次重啟服務,此時服務正常執行
10.訪問80埠的網頁,成功訪問
11.訪問808埠的網頁,成功訪問
12.訪問8088埠的網頁,訪問失敗
13.這時候產生這個結果的原因是,檔案selinux安全上下文中的型別欄位要和服務的型別欄位不匹配
14.修改html3的型別字段
15.重啟服務
16.訪問8088埠的網頁,訪問成功
17.最後乙個測試httpd服務某個功能的布林值
18.一httpd為每個使用者提供家目錄展示功能為例
19.開啟使用者家目錄訪問功能
:wq20.新建乙個使用者,並為其準備展示網頁
useradd abc
mkdir /home/abc/public_html
vim /home/abc/public_html/index.html
:wqchmod o+rx /home/abc
21.重啟服務
22.訪問使用者展示網頁
23.該訪問被禁止的原因是該功能的布林值為off,需要更改該功能的布林值
getsebool -a | grep http 檢視http服務支援的功能
httpd_enable_homedirs --> off 使用者家目錄展示功能
setsebool -p httpd_enable_homedirs on 開啟該功能
24.重啟服務
25.重新訪問
26.到此基本管理selinux已經介紹完畢
CentOS7 永久關閉防火牆和SELinux
臨時關閉防火牆 systemctl stop firewalld臨時開啟防火牆 systemctl start firewalld防火牆開機關閉 systemctl disable firewalld防火牆開機啟動 systemctl enable firewalld檢視防火牆狀態 systemct...
CentOS搭建dubbo admin管理平台
1.環境 centos6.5 jdk1.7 開始用的jdk1.8,安裝dubboadmin時總是報錯,所以改為1.7 zookeeper3.4.9 2.安裝,解壓檔案到root資料夾下 也可以將解壓後的資料夾修改為root mv dubbo admin 2.5.4 snapshot root unz...
linux使用者管理 centos
1.新增使用者 useradd options username d 家目錄 d 更改預設 e 指定新使用者的實效時間 f 指定密碼過期多少天後關閉該使用者 g 指定使用者所屬主組 g 指定使用者所屬附屬組 m 自動建立使用者目錄 m 不建立使用者目錄 r 建立系統目錄 u 指定uid s 指定使用...