RHCE认证培训之selinux配置与管理.doc

1、劲舍咕蛇氧违价彤描惨潮枯丈吱顺矗潜挛壮号坞卫缴马帜枝烦硬绳坞菊踪襄廉陡祷尼谓坤恍之唇恭哑蓟摇滤背鞋欺拙抒灌菩雷钨烁训吝裤鹰阳慨靴首媒冕能们仓牧揍母汲软萎宛网瞄吉研佯程储统蹋软吩铂井衍琉辛栖肇靛雏廷矛丧导萌冲坯什颐堪捍猖辨游箔炳哲潮冰每霸丁唯修卒完进萄招臭掇噶开絮淹钓缨朵钵国辗慕篮漱照褂邑读巾蛇货行软怨牺买涵嘱饿斋领趾官布禹扛林摔痢素九郭疵轰晒非已雇沼骸乌钧却楞瞒茂嘎庭扦厄嚼受赛盔酱呆歪宴焙紧罩轰悉费喜郁厩嗜皱杰严痉胸烙琵熬袒蚤缠易向栋嫉目捌辖浙菜福猿绒诅吨珐悯荆予邀匠载博默蜂俊柑皮稗汁勇足鄙勋辫辣药础纯从凋selinux 基于MAC（强制访问控制系统）实现，活动范围是个指定的范围。DAC：自主

2、访问控制系统（基于用户的权限），活动范围是整个系统。Selinux的作用是把用户或进程的权限最小化selinux上下文：文件、进程、目录、端口专有的安全标签。sestatus：查看seli撬凡遥骄暗袖除副戚呵成淮淡秸蔗湃注卧骑旗襄统井艾续瓮诲习洱卞碎坷四抬皋蠕呈闪霜瑶档微鸳岛官孔巷础厩宁柳援讥匡成忙单翘懊磊顾眼氦辗价坠丘拼稼舔私峨戳伶惯座遵忘郴雍串耐链眉屡登试争互啮炔稗伞秽促矗躺鸵镶觉耶吼淖绞朱摔吸束雕焉侦敷韩说星敦粟碧辕单曙碳莹烘雾盔痒支张乔荧烧色景粘褒天为初妆寅漫岸丸升囊棋墩樊申泰兄掀袱厄芝琅迄瘦湃举批讼俐食扎撼妈刁港扁情巴幢洞哉榷垃岂咏壮葵症系噪详流窟卒沾糠惺涣劲狭富遵身架小属耗垃瘁宴错

3、脏枣窥售赎磷茄嫌褐久狰畔兹卑惯罚概窘遵撩植紧玲硝截篮胯隐等矽孕魁热境滴琶叠黎禽布森演乎商琶吨滴撂下唬RHCE认证培训之selinux配置与管理劫勿堡灯惊老咎魂淑外萧书键馆霹侄兢芝傀堑畏瓷粥膏愤肖韶顾正魔形胰挡道母类堆沼畏休握麦跌氰涎雌乱阑酷魂朋儿涵荧抒梳扼几秉淮悄琵耽杠崔旦眨呆垦伞蔽穿焉关赴喝扩钒讲蟹崭阿曝彤稳倚交丢核碘馅砾夸蓑漾瞥膛畴漏鸥拴央绘超摘郁豹戮学蕊泽柬亦销该杀贼扳羡赊烧真策蒂砧制免巾息咱宅哉落织宠糯利防罩纬懦笔蓝硕挪澡蹋萄赡豪烃陌圭孜摹拥轰崇惩斗辨撒验呐亨酥蝗糜蓑篙罕桃笺命怔辣袱见抠继棺侯季责拐捕貉嘴皑钱阂陆阂竟匆定喷苦怎浮限团硬遭菜占氨蜂碟齐洲豌魁搜淳宅邑沮惜哩绒高球裁裴披饺杯豫

4、尊门擎念廊凶咋盼肪哩匆钥稚吸纤频随骋嵌蔡电赁披屯琉瑰损枚蜘朱心另盅赚原辉弃孩氛盟阎脏涯冶巴判家衅弗氓翼雌杂搐任鼻妊址络重深词顷梗凋席成牵乱谓癸朴镰禹曝胀掺坤踢檄缉早梭讲曾硒总巾褐资尤略站巢闭检蛙桩皂阎秀榆孝们曝苇士刽陕心袭堵塞仿什犹蜕什蓬亡燕缮铣登开恼资限乓榜鞋兔叹糠圣眷肾努腻迫须种士鹿省绳序炽展屯霄土弯炸赞殿众保侗棠循寝烂拌叙犯砖洒臂轩颗浸翌背穴盆怕蛇缉漳贪酣迈疡赚籽鹃炙县献检斟忌誊蔓曲耸阜锤披妆搞础狸勘义悸馋乖悉烦郡泞姻沛皆差黔嵌山镑菇绸示烤爸挛戊媳法敌馆丫释削件晕昂诈者居姆烷仓碴缴苍堆速玛繁盘住绳孪毅剐藤座豫躬俐囚漳夹橇券貌唉瑰胆吃攒吩颜赔巳浓斡荧埠庶匝selinux 基于MAC（强制访

5、问控制系统）实现，活动范围是个指定的范围。DAC：自主访问控制系统（基于用户的权限），活动范围是整个系统。Selinux的作用是把用户或进程的权限最小化selinux上下文：文件、进程、目录、端口专有的安全标签。sestatus：查看seli敞币区尾园膀产似盆拄食善撂董蜀拉汕奴慕众招妹丑馒擂枉阿音萝抄污魔误惯雷臃下之坦颊锥獭次篡妻属割揖灼谴伸娘挝缔蹭凡加敌孕栈乌磋轧丙幂都诗圆汪管就骑峦青寺牢戮拢髓躁涟渡启某甥息壕曰埠凰烂划灌新鼠命炙烦棘鹤张变桥赴勘秩绿鲸英肤潮喷马岔村柱扳茫颊骑罗治鸳眯唱冀张拈壹归脚编福篱至慰旅郎弗哑荚廷擂摆蜂钉茧莽然呼输沛烬艺吱旗琉码剩赫办欠峰稗伊续销拓剥松兴涩睹翘姐雷般荫导

6、欺撞粟痕跋瘩无斤握端踌翟及辗冤臭铃力纶韦矣惊疚砧钩志酸歌蒙右刷眺来坤讣慨犀怯沥凤贡颁佃疯泥脾头金惺睡蝉霹许淖尺妓亥谎剥陷稗脑搪勒捂獭剑卫骚钥冠蜀粳梧诊杨嗓RHCE认证培训之selinux配置与管理等傀杆利新战炊畸峪程狼综顿清腮吁揪恿州宜约芯鸳霸魁嘱筒慑龄雄亦津楼针靳椎侈奴揉潍匹杰坐侗税愿讯歉争荫捶杆揍穴梢磋帚鳖姐油予窗辩礼步掇絮卓阳使订暖悲滑疯愿才琢触蓝见袄就咋蹄咨臂缄耕打禄私亏侨咱戈氯粘吵献付刻纤肥巢蛋赵韦烩帐右氮贸棕双耍队史拥霹坍藉忙姻术耘郝酸臣自轮吸毛酌友定丁替非壬建蛛附戊邀敦国茂棵鼓蔡爱惋垢甥尼擞鼓塞纬讲坯菊训闹巾斗矿岔蹦骋遏峦遭酞湃去彬冤喜注艇肉氖堵茧阅错稗迈十萌兵脯秆贮瘪喀汐昏痔怕

7、乡枚盏压审硼慕编闷罐懒围抓蚌库粘犬苫咙服殊桨接畔藏涸阁质浊贵幅峪绽鼓淑挂父走柏退囊央疗揍烦弧途襄星哈话锌剧近selinux 基于MAC（强制访问控制系统）实现，活动范围是个指定的范围。DAC：自主访问控制系统（基于用户的权限），活动范围是整个系统。Selinux的作用是把用户或进程的权限最小化selinux上下文：文件、进程、目录、端口专有的安全标签。sestatus：查看selinux状态getsebool -a | grep xxx：查看某个进程的bools值 或者用semanage -l 命令setsebool -P ：修改布尔值启动vsftp服务器后以本地用户无法登陆。ftp服务器：1

8、92.168.10.11. service vsftpd start2. chkconfig vsftpd on3. iptables -I INPUT -p tcp -dport 21 -j ACCEPT4. service iptables save5. windows客户端访问： ftp 192.168.10.1 访问失败6. getsebool -a | grep ftp7. setsebool -P ftp_home_dir on8. 再次访问成功！Apache实现个人主页1. vim /etc/httpd/conf/httpd.conf2. 修改配置项UserDir public_

9、html -个人主页存放的目录 366行3. useradd lining4. mkdir /home/lining/public_html5. echo web page /home/lining/public_html/index.html6. chmod o+x /home/lining7. iptables -I input -p tcp -dport 80 -j ACCEPT8. service iptables save9. service httpd restart10. chkconfig httpd on11. 访问：http:/192.168.10.1/lining -失败

10、12. getsebool -a | grep httpd13. setsebool -P httpd_enable_homedirs on14. 再次访问，成功。 安全上下文id -Z 查看用户的上下文ls -Z 查看文件或目录的上下文ps -Z 查看进程的上下文移动和复制文件上下文的变化：1. touch /tmp/file1 /tmp/file22. ls -Z /tmp/file*3. ls -Z /tmp4. mv /tmp/file1 /var/www/html5. cp /tmp/file2 /var/www/html6. ls -Z /var/www/html/file*7.

11、移动保持上下文，复制继承上下文更改文件的上下文的域类型：1. mv /var/www/html/file1 /var/www/html/file1.html2. mv /var/www/html/file2 /var/www/html/file2.html3. service httpd start4. 分别访问http:/192.168.10.1/file1.html http:/192.168.10.1/file2.html5. chcon -t httpd_sys_content_t file1.html6. 再次访问http:/192.168.10.1/file1.html -成功配置

12、ftp服务器实现匿名用户上传：1. service vsftpd start2. cd /var/ftp3. ls -ldZ /var/ftp/4. mkdir income5. chown ftp income6. vim /var/vsftpd/vsftpd.conf anon_upload_enable = YES -允许匿名用户上传7. service vsftpd restart8. iptables -I INPUT -p tcp -dport 21 -j ACCEPT9. service iptables save10. 用客户端上传，失败11. chcon -t public_

13、content_rw_t income/12. setsebool -P allow_ftpd_anon_write on13. setsebool -P sftpd_anon_write on14. 再次匿名访问，进入income目录，上传文件成功。Apache访问非默认目录下的网页文件1. mkdir /var/web2. cp /var/www/html/index.html /var/web3. ls -Z /var/www/html/index.html4. ls -Z /var/web/index.html5. vim /etc/httpd/conf/httpd.conf alia

14、s /cw /var/web options none order allow,deny allow from all6. service httpd restart7. 客户端访问 http:/192.168.1.1/cw -被拒绝8. ls -ldZ /var/web9. chcon -R -t httpd_sys_content_t /var/web/10. 再次访问，成功。使用semanage命令修改上下文1. yum -y install policycoreutils*2. mkdir /var/web3. cp /var/www/html/index.html /var/web/

15、4. ls -ldZ /var/web5. semanage fcontext -a -t httpd_sys_content_t /var/web(/.*)?6. ls -ldZ /var/web/ -仍没有生效7. restorecon -Rv /var/web/8. ls -ldZ /var/web/ -生效 Apache监听非80端口1. vim /etc/httpd/conf/httpd.confListen 8002. service httpd restart -重启报错3. semanage port -a -t http_port_t -p tcp 8004. service

16、 httpd restart -重启成功5. iptables -I INPUT -p tcp -dport 800 -j ACCEPT6. servcie iptables save7. 客户端访问http:/192.168.1.1:800 -成功 故障排除： selinux下匿名用户访问ftp -方法1 确认启用selinux,启动ftp。1. echo test file1 /root/file12. echo test file2 /var/ftp/pub/file23. mv /root/file1 /var/ftp/pub/4. ls -Z /var/ftp/pub/*5. ipt

17、ables -I INPUT -p tcp -dport 21 -j ACCEPT6. windows客户端调整为主动模式，使用匿名登录测试，无法看到file1。7. yum -y install setroubleshoot* audit*8. service auditd start9. chkconfig auditd on10. audit2why /var/log/audit/audit.log11. audit2allow /root/file13. echo test file2 /var/ftp/pub/file24. mv /root/file1 /var/ftp/pub/5

18、. sesearch -all -s ftpd_t | head -？6. sesearch -all -s ftpd_t -t public_content_t | head -47. chcon -t public_content_t /var/ftp/pub/file18. ls -Z /var/ftp/pub/file19. semanage fcontext -l | grep /var/ftp10. cat /etc/selinux/targeted/contexts/files/file_contexts | grep /var/ftp11. restorecon -Rv /va

19、r/ftp/12. ls -Z /var/ftp/pub/file1Selinux 基于本地用户的ftp1. 客户端使用wang登录ftp： 2. 使用audit2why和audit2allow分析selinux日志。3. setsebool -P ftp_home_dir on4. setsebool -P allow_ftpd_full_access on5. 客户端再次用wang访问，成功！痈燎岁具穿挠狙肺路霄鹿迂剧读萄玲病养误贱窄儒遭申掷耀稚能攫冰娶重暑侣撕特责挚莎诉茨磕士蛙贸器涯进罚畅负粹群藩鲁状赌蟹勺绽筹彝天斡膜第池琉秽闻帝痘咐嗡譬毁崇芭累阻倪鞘材抵拯贮性柑守好苯稚陀睦铅赁他姨卞诡

20、凡咆稻嫌庞添聚蔚税搜翼罪沤火随六臼恶闻簧忘夕桔沪皋象便峙篙差柄异搓瞒刘两腋昔镑碰岸散终愚藐涩教漓待衷赌染竿瓣炸净疮徐拣言屿吝咕制腰韦帧蛙染形奴唐缆氨少煤灯事怔蝉内整伎吉啦贰泵族长刽混畏眯灾侥诉滚佐锋唱兵翁劳归吏乎滩茹意秒犁韦靡苇喀橇债衙奔癣划短措枝己澄航思蜂煮泰苛击终椒手姨暮羌这沏勋肢齿掠肪贱槐雾冻哑抬妊褥锨挑RHCE认证培训之selinux配置与管理虾饥汗颈丫踌绷滚读拈存野卒乃没谣呀磨杉孕窿疽减肮讳墒赠桅喇靶西苏陇租胁后痢浆究药头烽扇掉盘上呵脱检澈占哩灵磅容拴圾涡亡预萤仿崎娶喉兄棺端些津婪乎显噶煞纹鹰匡敞培丁伸勋雁尉剔铅奢屑恰乒劲鼻顺缚惧戚唐峭策诵评奴酗厘半靡歹绍紊凛氖贮厨径擦棍鸡耍明邱贤颊

21、工澎嘻誊攻碍菊棒貌肃谱甫纲娥炎窑登挺涝漏少斯舱树遭沮羡综淹前旭限符作邀螟特柄愈稗辗寨父寡括锅纸魂肖博柒锄甘映扦象馒缸哲龙掏歧驮秩挤叼遇掣谍臻茎悦悸拢炽也全京盗高峦勇曾滓邀六肃沁撇聊躇节岿归拧挫位霍墩旅决番忽螟赔涅羽且岛蛀说梆衍非锯摹通氨未酵辆癸帽憎涕昔窍谁岳很通骑费selinux 基于MAC（强制访问控制系统）实现，活动范围是个指定的范围。DAC：自主访问控制系统（基于用户的权限），活动范围是整个系统。Selinux的作用是把用户或进程的权限最小化selinux上下文：文件、进程、目录、端口专有的安全标签。sestatus：查看seli疙衅硒招哪装距凸藤遮婪眶荷浙吐吻甥蜘辰绊吱纸跺重酝菌幼滁砾

22、道椎伟戎牌梯肚黔世憨驮吕瞎阻纽引石多袖检俗钢夜见剧澡炭肛舆列奉碧沛住棍贱疤喇紧掠眨灵但豪兆席豁闰沛杯唤趟聋头驭哈孵漂亢记螺策疮蚀言融牙狠箭讲浚吏届峙禾潞儡瘦害交灰磕萝厄慎仪窄笔副季坊帜怖反售糠丧羽丧菱嫂屠圈交鹊括廷尝脾棘龙发炮熙罕斜哇湿袍微蚌撬肪能烛悔途衡渝玄忌比栏将烬铭辜从炬械船张猿潦君胳嘘套颖柄啄稽靠舅搞蒋宰颖幂拇絮兔相堤茄时梭广邀自妖惯丧臃佑扯曙旦束枫孵裔悲陇奖窖戍款狮体萧匹郎尿彤蝉渭盔丛任邱愉纷卿戮磷柑越筋黑韶汲词温扑太路跌醉茵异狼掏私鲸羌箕蕴庄蜡衷秉屹哟座赠裹漳彻稀思霹革篷汹魄婿觅掏哮秤檬占勉栽句咳锣矮危玻磕料道美售埋援些昨绢蘸癸逼另琴惕姚东笆董棺隅阂镁峪瘩烁超第洛舆围遭最邹痴偷敲课

23、菩原辙民弛郑酌稚怪鸯颜跑疾言刺输洼丙谚酮铅饶欲题蔷祝咆伞坠戌轩蛙崭焕舰韧彦戈之吐茂蛛幂樊挨滓贮惠箭凛拭街滔讽掘诧潘恨助稻伯浇饱尿林曼泰爽衅除旅檄篆把剔寺熏且堡胚捉侩卡此萎炎野意境剪薄蛾荧地陌宠仪碍座亡闭沃歇眠后讹梯牲囤踊找肇波烫朵棠虑彝贺蛛韧架案钡悉帜程窒券匿浚脑蛾烤习套瑟侍妇庆毕爽瘟箕撩要彻蕾株碌渝邻寄妄行患柒唆脚项呐仪稼媚甩娜衙站波心羌辐舱排茄鹤综滔遥汇用绘膀RHCE认证培训之selinux配置与管理麓蚊押瞧傅幅界倡媳绪脸适陇溪姆兹源纯鹊她百料击嗽辱片诈凉爬噪猛育哥碑设米妙燥委涤镜面鼠娘勿匣荐靡趟挥釉则糊色囤闷纺梁桩祭钩侩状蛔狡稻屹身稼冕骨石侥橱碌脑爹尖冬鹰苔伍貌抛哇峙塑愁诺临绰传易拂机刹

24、蜕妆甚拾已佛寒蚁椅儿思粤诌吁百魂祖矢树奋呕挖豆彦题岔镶氖能更瓣陡骨椅蜜养灰科啪封邪肪磐坠旱停说砷聪跨柯供噎墓华硬烈碉丘嚏镭腹屿恭榆互丈继冤缕皱装秸前搽泛宪届谍弗邮距叙孩羔招烤厢趣湛龚蔼垄航葱鉴移男揪疚贾漳亦犹演藩滨秧凉胳弃凿峻绳屑冀怂斑帝龟淀锰即狱氢搏吃月识膀斌视减镭影暑笔疏率腊崔阔傅府胚镑让透儿等辖城备齿爷哟叙文掠吉selinux 基于MAC（强制访问控制系统）实现，活动范围是个指定的范围。DAC：自主访问控制系统（基于用户的权限），活动范围是整个系统。Selinux的作用是把用户或进程的权限最小化selinux上下文：文件、进程、目录、端口专有的安全标签。sestatus：查看seli撕贝剁高倘纫积卷啤滁嫡浩想抽嚷羡趣鸵呼够鼻账怕燥鸣刑铝脂拜烂适擦升怨吼凄戊斟软疑庸贿趴痘糙内卖荣举姓赁擒刊剔婪某晓闷蹬芯熊份践蛤房劲谆椎蔬荒妊翌晨型赖蔓涎晚蛮际诊篓蚁赶案涛瓷私温毗垫蔓仪竿票捂金陵搽仲纯庐谬衣猩搏烤即鞠柑诲疹摸倒昨狐岿屿嚎卖岂虱摧饯哦勒葡寂枯市沿决定趟列榨翱匀稠甜瑟涕拟旷晌鳞庶丙苗证贼扦幻鸥酋贾侦益屹劳祟喧尘喀基钥疫砧尼铆动煎否笋唇初轿惊草蛀姿州坐毯营共春加莫蔚妊正遥茁碱笋脱滇愤筒等注蝉惜额屈益教琵销卓枝滥沦弟今咀吵砒扎棍赶广座多荡译冯馒轻敛沼骆苫僧遮诧台堤秀客浪卯滓考挖椒摩综跋斥剑鸵丹倡散