9月3日 selinux練習(xí)

1、啟用SELinux策略并安裝httpd服務(wù)饮潦，改變網(wǎng)站的默認主目錄為/website,添加SELinux文件標簽規(guī)則，使網(wǎng)站可訪問

開啟selinux
安裝httpd服務(wù)
[root@centos6 app]#mkdir website   ---創(chuàng)建一個website目錄
[root@centos6 app]#cd website/
[root@centos6 website]#vim index.html   ---制作一個網(wǎng)頁標簽
  1 <h1>/app/website/index.html</h1>
[root@centos6 website]#vim /etc/httpd/conf/httpd.conf  ---修改httpd的配置文件，將默認主目錄設(shè)置為新建的目錄
 279 # UseCanonicalName: Determines how Apache constructs self-referencing 
 280 # URLs and the SERVER_NAME and SERVER_PORT variables.
 281 # When set "Off", Apache will use the Hostname and Port supplied
 282 # by the client.  When set "On", Apache will use the value of the
 283 # ServerName directive.
 284 #
 285 UseCanonicalName Off
 286 
 287 #
 288 # DocumentRoot: The directory out of which you will serve your
 289 # documents. By default, all requests are taken from this directory, but
 290 # symbolic links and aliases may be used to point to other locations.
 291 #
 292 #DocumentRoot "/var/www/html"   ---把這一行注釋掉
 293 
 294 DocumentRoot "/app/website"    ---增加一個路徑
 295 
 296 
 297 #
 298 # Each directory to which Apache has access can be configured with respect
 299 # to which services and features are allowed and/or disabled in that
 300 # directory (and its subdirectories). 
 301 #
 302 # First, we configure the "default" to be a very restrictive set of 
 303 # features.  
 304 #
 305 <Directory />
 306     Options FollowSymLinks
"/etc/httpd/conf/httpd.conf" 1012L, 34450C written  
[root@centos6 website]#service httpd restart ---重啟網(wǎng)絡(luò)服務(wù)，讓配置文件生效，此時我們無法在訪問網(wǎng)頁了
[root@centos6 html]#ll -Z
-rw-r--r--. root root system_u:object_r:httpd_sys_content_t:s0 index.html   ---查看一下原來的安全標簽
[root@centos6 html]#semanage fcontext -a -t httpd_sys_content_t "/app/website(/.*)?"    ---把website這個目錄的安全標簽也改為
和/var/www/httpd/目錄一樣，并添加到selinux數(shù)據(jù)庫中凌节，也就是變成
期望的安全標簽
[root@centos6 html]#restorecon -R /app/website/   ---將這個目錄設(shè)置為系統(tǒng)期望的安全標簽
這樣就可以訪問了

2、修改上述網(wǎng)站的http端口為9527洒试，增加SELinux端口標簽倍奢，使網(wǎng)站可訪問

[root@redhat7 html]#semanage port -l |grep "http"  ---查看一下系統(tǒng)期望的端口號
http_cache_port_t              tcp      8080, 8118, 8123, 10001-10010
http_cache_port_t              udp      3130
http_port_t                    tcp      80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t            tcp      5988
pegasus_https_port_t           tcp      5989
[root@redhat7 html]#semanage port -a -t http_port_t -p tcp 9527  ---添加端口9527到期望的端口號
[root@redhat7 html]#semanage port -l |grep "http"
http_cache_port_t              tcp      8080, 8118, 8123, 10001-10010
http_cache_port_t              udp      3130
http_port_t                    tcp      9527, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t            tcp      5988
pegasus_https_port_t           tcp      5989
[root@redhat7 html]#systemctl restart httpd  ---重啟網(wǎng)絡(luò)服務(wù)

3、啟用相關(guān)的SELinux布爾值垒棋，使上述網(wǎng)站的用戶student的家目錄可通過http訪問

[root@redhat7 html]#setsebool httpd_enable_homedirs on ---修改布爾值
[root@redhat7 html]#getsebool -a |grep home  ---查看布爾值
git_cgi_enable_homedirs --> off
git_system_enable_homedirs --> off
httpd_enable_homedirs --> on

4娱挨、編寫腳本selinux.sh，實現(xiàn)開啟或禁用SELinux功能

#!/bin/bash
#
#chkconfig:2345 90 10
selinuxon () {
                      setenforce 1
                  source /etc/init.d/functions
                      action "selinux start successful!" true
}
selinuxoff () {
                         setenforce 0
                  source /etc/init.d/functions
                      action "selinux stop successful!" true
}
case $1 in
      start) if [ `getenforce` == Permissive ];then
                  selinuxon
                
              else
                      echo "selinux is start before"
             fi
            ;;
      stop)    if [ `getenforce` == Enforcing ];then
                  selinuxoff
                  else
                      echo "selinux is stopped before"
                 fi
           ;;
       *) echo "the usage: start|stop"&&exit 100
             ;;
esac

最后編輯于：2017.12.10 05:50:48

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末捕犬，一起剝皮案震驚了整個濱河市跷坝，隨后出現(xiàn)的幾起案子，更是在濱河造成了極大的恐慌碉碉，老刑警劉巖柴钻，帶你破解...
沈念sama閱讀 206,723評論 6贊 481
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件，死亡現(xiàn)場離奇詭異垢粮，居然都是意外死亡贴届，警方通過查閱死者的電腦和手機，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 88,485評論 2贊 382
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門，熙熙樓的掌柜王于貴愁眉苦臉地迎上來毫蚓，“玉大人占键，你說我怎么就攤上這事≡耍” “怎么了畔乙？”我有些...
開封第一講書人閱讀 152,998評論 0贊 344
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長翩概。經(jīng)常有香客問我牲距，道長，這世上最難降的妖魔是什么钥庇？我笑而不...
開封第一講書人閱讀 55,323評論 1贊 279
?港島之戀（遺憾婚禮）
正文為了忘掉前任牍鞠，我火速辦了婚禮，結(jié)果婚禮上评姨，老公的妹妹穿的比我還像新娘难述。我一直安慰自己，他們只是感情好吐句，可當我...
茶點故事閱讀 64,355評論 5贊 374
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布胁后。她就那樣靜靜地躺著，像睡著了一般蕴侧。火紅的嫁衣襯著肌膚如雪择同。梳的紋絲不亂的頭發(fā)上两入，一...
開封第一講書人閱讀 49,079評論 1贊 285
城市分裂傳說
那天净宵，我揣著相機與錄音，去河邊找鬼裹纳。笑死择葡，一個胖子當著我的面吹牛，可吹牛的內(nèi)容都是我干的剃氧。我是一名探鬼主播敏储，決...
沈念sama閱讀 38,389評論 3贊 400
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼，長吁一口氣：“原來是場噩夢啊……” “哼朋鞍！你這毒婦竟也來了已添？” 一聲冷哼從身側(cè)響起，我...
開封第一講書人閱讀 37,019評論 0贊 259
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤滥酥，失蹤者是張志新（化名）和其女友劉穎更舞，沒想到半個月后，有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體坎吻，經(jīng)...
沈念sama閱讀 43,519評論 1贊 300
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡缆蝉，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 35,971評論 2贊 325
?白月光啟示錄
正文我和宋清朗相戀三年，在試婚紗的時候發(fā)現(xiàn)自己被綠了。大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片刊头。...
茶點故事閱讀 38,100評論 1贊 333
活死人
序言：一個原本活蹦亂跳的男人離奇死亡黍瞧，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出原杂，到底是詐尸還是另有隱情印颤，我是刑警寧澤，帶...
沈念sama閱讀 33,738評論 4贊 324
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布污尉，位于F島的核電站膀哲，受9級特大地震影響，放射性物質(zhì)發(fā)生泄漏被碗。R本人自食惡果不足惜某宪，卻給世界環(huán)境...
茶點故事閱讀 39,293評論 3贊 307
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望锐朴。院中可真熱鬧兴喂，春花似錦、人聲如沸焚志。這莊子的主人今日做“春日...
開封第一講書人閱讀 30,289評論 0贊 19
一樁弒父案，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽酱酬。三九已至壶谒，卻和暖如春，著一層夾襖步出監(jiān)牢的瞬間膳沽，已是汗流浹背汗菜。一陣腳步聲響...
開封第一講書人閱讀 31,517評論 1贊 262
情欲美人皮
我被黑心中介騙來泰國打工，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留挑社，地道東北人陨界。一個月前我還...
沈念sama閱讀 45,547評論 2贊 354
代替公主和親
正文我出身青樓，卻偏偏與公主長得像痛阻，于是被迫代替她去往敵國和親菌瘪。傳聞我的和親對象是個殘疾皇子，可洞房花燭夜當晚...
茶點故事閱讀 42,834評論 2贊 345

9月3日 selinux練習(xí)

推薦閱讀更多精彩內(nèi)容