SELinux安全上下文初探

SELinux安全上下文初探

   開啓我們的SELinux,我在安裝linux系統時將它禁用了,但是開啓selinux後,可能會對我們的一些服務有些限制功能,比如你可能不能正常訪問網頁、ftp等等,下面就對這些問題通過設置SELinux來解決這些問題

 

1、如果你的SELinux沒用啓動的話,有以下幾種啓動的方法

不可用狀態

開啓SELinux

Vim  /etc/sysconfig/selinux  如下:

或者用圖形化界面修改命令爲 system-config-selinux 或 system-cofig-securitylevel  SELinux設置爲“強制”

以上三種方法必須重新啓動計算機後SELinux才能生效。

2、當我們將SELinux設置爲“強制”模式後,我們更改httpd.conf裏的根目錄以後,會發現,httpd重啓不了,老失敗、、、、

這裏將根目錄改爲如下:

 DocumentRoot "/www"

mkdir /www

echo "123" > /www/index.html

重啓httpd時,報錯了,重啓不了,查看日誌發現如下:

Dec 23 11:33:03 localhost setroubleshoot: SELinux is preventing access to files with the default label, default_t. For complete SELinux messages. run sealert -l 511c4eda-797d-4b79-a1e3-51477afed4e6

按照日誌的提示我們允許sealert -l 511c4eda-797d-4b79-a1e3-51477afed4e6命令 有以下信息

源上下文和目標上下文的類型 不同,httpd 無法對default_t類的文件及目錄的讀取,所以啓動不了,修改爲httpd能夠讀取的類型

httpd能夠讀取什麼樣的類型呢,通過如下一些命令查看 

命令 ll -Z 目錄或文件

或者是命令 semanage  fcontext  -l   | grep http

從上邊我們可以看到httpd 能讀取的類型是 httpd_sys_context_t的類型

好了知道了這個類型,我們就把/www這個目錄改成這個類型 命令有chconchange context)或者restorecon 用法如下:

chcon  -R --reference=/var/www/html/  /www/ 或者chcon -t httpd_sys_content_t  /www/

改回原來的類型用 restorecon -v -R /www

Httpd正常啓動了,並且也能訪問到index.html網頁

重啓httpd報錯時。除了參看日誌外還可用以下命令排錯

sealert -b  或者是圖形界面下右上角的

單擊小星星

關於web這裏用的是默認的80端口,如果我們要建基於端口的虛擬主機時,能否通過SELinux呢。。。 假如我們把端口改爲8001,

Listen 8001

重啓httpd服務

出現錯誤了,不能綁定8001端口

通過上述的排錯方式找到了如下

SELinux安全策略庫裏沒有關於httpd8001端口,所以我們要添加上去

semanage port  -a  -t http_port_t -p tcp 8001

重啓httpd服務就沒問題了。

ftp關於SELinux的一些問題

登錄ftp以後dir一下看不到自己家目錄裏的任何文件及文件夾如下:

通過上述的排錯方法得知如下:

先看一下ftp的布爾值

默認SELinux不允許的,需要改爲ON命令如下:

setsebool -P ftp_home_dir=ON 或者setsebool -P ftp_home_dir=1

再次dir

Samba關於SELinux的一些問題

共享目錄爲/wsm   

        [public]

        comment = Public

        path = /wsm

        public = yes

但是卻訪問不了/wsm  和自己的家目錄  日誌如下:

Dec 23 14:35:15 localhost smbd[13169]: [2012/12/23 14:35:15, 0] smbd/service.c:make_connection_snum(1003) 

Dec 23 14:35:15 localhost smbd[13169]:   '/wsm' does not exist or permission denied when connecting to [public] Error was 權限不夠 

要設置一下SELinux了, smb.conf裏就有關於SELinux的配置說明

執行如下命令

chcon -R  -t samba_share_t  /wsm/

開啓自己的家目錄

setsebool -P samba_enable_home_dirs=ON

一切OK 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章