日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何使用semanage和避免禁用SELinux?

SELinux頗具挑戰(zhàn)性;當(dāng)這個安全層阻止您的應(yīng)用程序或服務(wù)時,您的第一個反應(yīng)往往是將其設(shè)成“禁用”或“允許”。在安全至關(guān)重要的當(dāng)下,您無法進(jìn)行這種更改,否則您的整個系統(tǒng)或網(wǎng)絡(luò)安全堪憂。您不想那樣。

創(chuàng)新互聯(lián)是一家專注于成都網(wǎng)站建設(shè)、成都做網(wǎng)站與策劃設(shè)計,安寧網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十載,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:安寧等地區(qū)。安寧做網(wǎng)站價格咨詢:028-86922220

為何不使用可助您一臂之力的工具?這款工具就是semanage,它是SELinux策略管理工具。借助semanage,您可以調(diào)整文件上下文、端口上下文和布爾值,這將有助于您確保系統(tǒng)可使用,又不必禁用安全系統(tǒng)。

本文將介紹以下命令:

  • semanage boolean
  • semanage fcontext
  • semanage port

知道這些命令后,您應(yīng)該能夠在Linux系統(tǒng)上更好地使用SELinux。

您需要什么?

運行中的Linux實例(使用SELinux)

擁有sudo特權(quán)的用戶

如何使用semanage boolean?

使用semanage boolean,您可以啟用和禁用允許規(guī)則集,因而可以為不同的用例允許不同的規(guī)則集。假設(shè)您有一臺Web服務(wù)器,必須允許讀取用戶內(nèi)容,比如來自主目錄的數(shù)據(jù)。SELinux默認(rèn)情況下不允許這么做。使用semanage boolean命令,您可以啟用該功能。

您可以使用semanage boolean命令,通過以下命令列出所有可用的HTTP相關(guān)策略:

 
 
 
    
  
  
  
  1. sudo semanage boolean -l | grep httpd 
    2.

您將看到幾項條目,比如:

 
 
 
    
  
  
  
  1. httpd_read_user_content (off , off) Allow httpd to read user content 
    2.

每份列表含有布爾值的名稱、布爾值的當(dāng)前和持久狀態(tài)以及布爾值描述。如上所示,httpd_read_user_content布爾值設(shè)為off。我們?nèi)绾螁⒂盟?很簡單:

 
 
 
    
  
  
  
  1. sudo semanage boolean -m --on httpd_read_user_content 
    2.

使用-m選項,我們指示SELinux使用后面的選項(--on)來修改記錄(本例中是httpd_read_user_context)。

就是這樣。您已完成了設(shè)置,SELinux將允許Web服務(wù)器讀取用戶內(nèi)容。

如果想要列出所有布爾值,看看您還可以做些什么,執(zhí)行以下命令:

 
 
 
    
  
  
  
  1. sudo semanage boolean -l 
    2.

如何使用semanage fcontext?

semanage fcontext命令用于管理文件上下文定義,這包含額外信息(比如SELinux用戶、角色、類型和級別),以做出訪問控制決策。文件上下文是管理員在SELinux上面臨的最大問題之一。您可能已經(jīng)創(chuàng)建了一個新目錄來容納SSH主機密鑰,但是如果沒有正確的文件上下文,SELinux不會允許通過SSH訪問該目錄。

您可以執(zhí)行什么操作?

可以使用semanage fcontext更改新目錄的文件上下文。

與boolean一樣,fcontext也有可以使用的策略。想查看可用策略的完整列表,請執(zhí)行以下命令:

 
 
 
    
  
  
  
  1. sudo semanage fcontext -l 
    2.

如果想列出所有與SSH守護(hù)程序有關(guān)的策略,請執(zhí)行以下命令:

 
 
 
    
  
  
  
  1. sudo semanage fcontext -l | grep sshd 
    2.

在該列表中,您將看到以下條目:

 
 
 
    
  
  
  
  1. /etc/ssh/primes regular file system_u:object_r:sshd_key_t:s0 
    2.   
  
  
  2.  
    3.   
  
  
  3. /etc/ssh/ssh_host.*_key regular file system_u:object_r:sshd_key_t:s0 
    4.   
  
  
  4.  
    5.   
  
  
  5. /etc/ssh/ssh_host.*_key\.pub regular file system_u:object_r:sshd_key_t:s0 
    6.

假設(shè)您要將SSH主機密鑰放在/data/keys中。創(chuàng)建目錄,將所有鍵移動到新主目錄中,并更改sshd_config文件以匹配新映射。嘗試使用SSH時,它會失敗。為什么?因為/data/keys沒有正確的fcontext??梢允褂靡韵聝蓚€命令解決該問題:

 
 
 
    
  
  
  
  1. sudo semanage fcontext -a -t sshd_key_t '/data/keys/*.*' 
    2.   
  
  
  2.  
    3.   
  
  
  3. sudo restorecon -r /data/keys 
    4.

我們使用semanage fcontxt創(chuàng)建新策略之后,必須使用restorecon命令對新文件設(shè)置安全上下文。正則表達(dá)式*.*獲取目錄中的所有文件。

如何使用semanage port?

您可能猜到了,semanage port讓您可以在自定義端口上運行服務(wù)。如果您嘗試在自定義端口上運行服務(wù),該服務(wù)會失敗。假設(shè)您想在非標(biāo)準(zhǔn)端口上運行SSH守護(hù)程序。如果您僅為此配置sshd_config,會發(fā)現(xiàn)SELinux將阻止您獲得訪問權(quán)限,因為SELinux不知道您已進(jìn)行了此更改。

如果想把SSH端口更改為2112:

 
 
 
    
  
  
  
  1. semanage port -a -t ssh_port_t -p tcp 2112 
    2.

然后就要使用以下命令將端口添加到防火墻:

 
 
 
    
  
  
  
  1. sudo firewall-cmd --add-port=2112/tcp --permanent 
    2.   
  
  
  2.  
    3.   
  
  
  3. sudo firewall-cmd --reload 
    4.

至此,您終于可以使用非標(biāo)準(zhǔn)端口,通過SSH訪問支持SELinux的服務(wù)器。

想列出所有可用的端口策略,請執(zhí)行以下命令:

 
 
 
    
  
  
  
  1. sudo semanage port –l 
    2.

結(jié)論

SELinux是一種功能很強大的工具,擅長保護(hù)Linux服務(wù)器免受不必要的更改。這種功能帶來了一定程度的復(fù)雜性。熟悉上述三個命令,可使管理工作變得更輕松,而不是禁用SELinux或?qū)⑵湓O(shè)置為“許可”模式。


網(wǎng)頁名稱:如何使用semanage和避免禁用SELinux?
文章轉(zhuǎn)載:http://www.dlmjj.cn/article/cocgjge.html