linux:SElinux的实验之自动检查错误并提出解决方案

最新推荐文章于 2024-06-13 20:44:24 发布
最新推荐文章于 2024-06-13 20:44:24 发布
阅读量143 收藏
点赞数 3
分类专栏: RHCE的学习 文章标签: linux 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fox_kang/article/details/139041090
版权

linux:SElinux的实验之自动检查错误并提出解决方案

​ 1.设定一台主机的主机名未webserver.timinglee.org
ip: 172.25.254.100
请打开此主机的selinux,并在系统中检测selinux的状态为enforcing(以上内容需要在报告中体现过程)
​ 2.配置nginx服务,要求其默认发布目录为/nginx/html默认发布内容为:webserver.timinglee.org
使用端口为:6666

​ 3.检测上述要求并把检测解决呈现在报告中

[root@server100 ~]# hostnamectl hostname webserver.timinglee.org

[root@server100 ~]# hostname
webserver.timinglee.org

# 关闭防火墙
[root@webserver ~]# systemctl disable --now firewalld.service
Removed "/etc/systemd/system/multi-user.target.wants/firewalld.service".
Removed "/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service".


[root@webserver ~]# ifconfig | tr -s " " | grep broadcast | cut -d " " -f3
172.25.254.100

# 永久开启selinux,需要重启系统生效
[root@webserver ~]# grubby --update-kernel ALL --args selinux=1

# 重启系统
[root@webserver ~]# reboot

# 查看seLinux的状态
[root@webserver ~]# getenforce
Enforcing
# 安装nginx软件并开启服务
[root@webserver ~]# dnf install nginx -y
[root@webserver ~]# systemctl enable --now nginx.service

# 修改nginx的主配置文件
[root@webserver ~]# vim /etc/nginx/nginx.conf
server {
        listen       6666;
        listen       [::]:80;
        server_name  _;
#      修改网页默认发布路径
        root         /nginx/html;

# 建立网页存储目录并制作网页文件
[root@webserver ~]# mkdir -p /nginx/html
[root@webserver ~]# echo "webserver.timinglee.org" > /nginx/html/index.html

# 语法检查成功,但是重启服务报错
[root@webserver ~]# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
[root@webserver ~]# systemctl restart nginx.service
Job for nginx.service failed because the control process exited with error code.
See "systemctl status nginx.service" and "journalctl -xeu nginx.service" for details.

# 查看报错信息
[root@webserver ~]# less /var/log/audit/audit.log | nginx

# 查看解决工具日志文件
[root@webserver ~]# less /var/log/messages | grep nginx

# 在这里查找到了解决方案
#012# ausearch -c 'nginx' --raw | audit2allow -M my-nginx#012# semodule -X 300 -i my-nginx.pp#012

[root@webserver ~]# ausearch -c 'nginx' --raw | audit2allow -M my-nginx
******************** IMPORTANT ***********************
To make this policy package active, execute:

semodule -i my-nginx.pp

[root@webserver ~]# semodule -X 300 -i my-nginx.pp
[root@webserver ~]# systemctl restart nginx.service
# 重启无报错

# 访问测试,访问失败,没有访问到指定内容
[root@webserver ~]# curl 172.25.254.100:6666
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.20.1</center>
</body>
</html>

# 再次查看解决方法
[root@webserver ~]# less /var/log/messages | grep nginx

# 在这里查找到了解决方案
# semanage fcontext -a -t FILE_TYPE '/nginx/html/index.html'#012where FILE_TYPE is one of the following: NetworkManager_exec_t, 

[root@webserver ~]# semanage fcontext -a -t httpd_sys_content_t  '/nginx/html(/.*)?'
[root@webserver ~]# restorecon -RvvF /nginx/html/
Relabeled /nginx/html from unconfined_u:object_r:default_t:s0 to system_u:object_r:httpd_sys_content_t:s0
Relabeled /nginx/html/index.html from unconfined_u:object_r:default_t:s0 to system_u:object_r:httpd_sys_content_t:s0

# 访问测试,访问成功
[root@webserver ~]# curl 172.25.254.100:6666
webserver.timinglee.org
fox_kang
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
操作系统安全:selinux自启动.docx
06-01
selinux自启动 SELinux的工作方式 SELinux的工作方式 SELinux是在进行程序、文件等权限设置一句的一个内核模块。 传统的DAC模式 我们知道在Linux下面的ugo权限模式,即通过rwx权限对用户进行访问控制。这也可以称作为DAC(自主访问控制方式)。但这种访问控制方式存在缺陷: root一手遮天 安全意识不强的系统管理员可以将访问权限设置为777 MAC模式 SELinux的设计初衷也是为了避免系统资源被误用(如b)。因此,SELinux通过MAC(强制访问控制)方式来管理进程。?在MAC方式下,SELinux监管的主体从用户转变成了进程,因此它可以针对特定的资源和特定的文件资源进行权限的控制。 SELinux的模式 SELinux的模式 1,并非所有的 Linux distributions 都支持 SELinux 的,不过CentOS都有对SELinux的支持。? 目前 SELinux 支持三种模式,分别如下: ?enforcing:强制模式,代表 SELinux 运作中,且已经正确的开始限制 domain/type 了; ?permissive:宽容模式
SELinux:为任何Linux环境带来世界级的安全性! SELinuxLinux/UNIX集成商、管理员和开发人员提供了最
01-16
SELinux:为任何Linux环境带来世界级的安全性! SELinuxLinux/UNIX集成商、管理员和开发人员提供了最先进的平台,用于构建和维护高度安全的解决方案。既然SELinux已经包含在Linux 2.6内核中,并且默认情况下在Fedora Core、Red Hat Enterprise Linux和其他主要发行版中提供,那么利用它的好处比以往任何时候都要容易。 SELinux by Example是在生产环境中使用SELinux的第一个完整的实践指南。由三位领先的SELinux研究人员和开发人员撰写,它阐明了使用SELinux的各个方面,从其架构和安全对象模型到其策略语言。这本书彻底解释了SELinux示例策略-包括强大的新参考策略-展示了如何快速地使它们适应您独特的环境。它还包含一个全面的SELinux策略语言参考,并涵盖了Fedora Core 5和即将推出的Red Hat Enterprise Linux版本5中令人兴奋的新功能。 ·彻底理解SELinux的访问控制和安全机制·使用SELinux从头开始构建安全系统·获得对内核资源的细粒度控制·为类型强制、角
selinux-notebook:SELinux笔记本
05-01
SELinux笔记本 介绍 本笔记本应有助于说明: SELinux及其生活目的。 LSM / SELinux体系结构,其支持服务以及如何在GNU / Linux中实现它们。 SELinux网络,虚拟机,X-Windows,PostgreSQL和Apache / SELinux-Plus支持SELinux的功能。 SELinux内核的核心策略语言,以及如何为教学目的构建基本策略模块。 新的通用中间语言(CIL)实现的简介。 SELinux核心策略管理工具以及使用示例。 参考策略体系结构,其支持服务以及实现方式。 SELinux在Android中的集成。 笔记本概述 本卷包括以下主要部分: SELinux概述-描述SELinux及其主要组件,以为GNU / Linux提供强制访问控制服务。 希望它将显示所有SELinux组件如何链接在一起以及如何实现SELinux感知的应用程
操作系统安全:selinux简介.pptx
06-01
Selinux的简介;SELinux(security enhanced Linux)安全强化的Linux ;传统的文件权限与账号关系:自主式访问控制,DAC ;以政策规则定制特定进程读取特定文件:委任式访问控制,MAC ;Selinux简介;Selinux简介;Selinux简介;Selinux简介;Selinux简介
Linuxselinux基础配置教程详解
01-10
selinux(Security-Enhanced Linux)安全增强型linux,是一个Linux内核模块,也是Linux的一个安全子系统。 三种模式: Enforcing:强制模式,在selinux运作时,已经开始限制domain/type。 permissive: 警告模式,在selinux运作时,会有警告讯息,但不会限制domain/type的存取。 disabled: 关闭模式。 可用getenforce查看selinux状态 selinux对文件的作用: 当开启selinux后,selinux会给每个文件加载标签context,安全上下文必须配对,否则文件不能访问 测
linux系统下常见的故障与处理方法
wwwww0415的博客
03-05 4086
linux系统下常见的故障与处理方法
大数据之路之Linux
LXWalaz1s1s的博客
03-27 5405
为什么要学习Linux 1. 工作需要,从事IT工作或多或少都要设计Linux; 2. 迟早老子会有钱,要买一台苹果Mac坐在星巴克追剧,那你会发现,Mac的命令行模式竟然和Linux惊人的相识,我每次用到Mac命令行操作都是直接网上直接copy的,不知道啥意思,这是我一个做设计的朋友跟我吐槽的,嘿嘿,就怕哪天你copy了个`rm -rf *` 3.每次看美国大片,发现那些电脑高手都在一个黑框框里啪啦啪啦的敲键盘,他们在敲啥呢?想不想成为他们一样的高手?
关闭selinux LinuxSELinux的开启、关闭
07-05
SELinux 是Security-Enhanced Linux 的简写,意指安全增强的linux。它不是⽤来防⽕墙设置的。但它对Linux系统的安全很有⽤。Linux内核 (Kernel) 从2.6就有了SELinuxSELinux是内置在许多GNU / Linux 发⾏版中的...
操作系统安全:实验配置selinux策略(实验一).docx
06-02
实验一:selinux策略配置 一、实验目的 掌握Selinux的命令 掌握Selinux复制和移动文件 了解chcon命令的使用 掌握Selinux布尔值的查看修改 了解Selinux应用和禁用 二、实验内容与步骤 Selinux命令 SELinux的模式 1.1 并非所有的 Linux distributions 都支持 SELinux 的,不过CentOS都有对SELinux的支持。? 目前 SELinux 支持三种模式,分别如下: ?enforcing:强制模式,代表 SELinux 运作中,且已经正确的开始限制 domain/type 了; ?permissive:宽容模式:代表 SELinux 运作中,不过仅会有警告讯息并不会实际限制 domain/type 的存取。这种模式可以运来作为 SELinux 的 debug 之用; ?disabled:关闭,SELinux 并没有实际运作。 1.2 查看SELinux的模式 # getenforce Enforcing? <==就显示出目前的模式为 Enforcing 图1:查看SELinux的模式 1.3 查看 SELinux
selinux-te-tester:验证SELinux类型强制
05-02
SELinux类型强制测试器 概念 用自己的过程来验证Type Enforcement是很困难的,因为该过程不会接触不必要的地方,但是验证需要接触这些地方。 但是现在,我们有了一个好主意! Type Enforcement的控件与SELinux域和类型一起使用。 因此,如果将用于验证的程序作为与自己的处理相同的域执行,则可以说对自己的处理进行了验证。 注意力 您必须具有与SELinux管理员等效的许可才能安装策略。 您环境中的SELinux模式是否设置为Enforce? 如果允许,则验证无法进行。 在执行velification之前,该工具将花费大约30秒钟用于策略安装,在velification之后的卸载将花费10秒钟。 卸载策略,audit2allow和其他策略无效。 如果不需要卸载策略,请将--disabled-uninstall-policy选项设置为第一个参数。 完成工
Linux fallocate工具用于预分配或释放文件空间的块
不积跬步,无以至千里;不积小流,无以成江海。
06-09 295
命令,您需要在具有适当权限的环境中运行它,例如通过SSH登录到Linux服务器或在Linux终端中运行。请确保指定的路径存在且可写。文件中未使用的磁盘空间。请注意,这不会改变文件的大小,只是释放了未使用的磁盘空间。之前,建议了解文件系统和存储设备的特性,以避免潜在的性能问题。是一个Linux命令行工具,用于预分配或释放文件空间的块。文件的大小截断为5MB。大于5MB的部分将被删除。文件的10MB偏移量处开始预分配5MB的磁盘空间。文件的10MB偏移量处开始的5MB磁盘空间。文件预分配10MB的磁盘空间。
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
appearappear的博客
06-12 213
Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
嵌入式Linux系统编程 — 3.4 access、chmod和 umask函数修改文件访问权限
几度春风里的博客
06-09 916
文件的权限检查不仅讨论文件本身的权限,还需要涉及到文件所在目录的权限, 只有同时都满足了,才能通过操作系统的权限检查,进而才可以对文件进行相关操作;所以,程序当中对文件进行相关操作之前,需要先检查执行进程的用户是否对该文件拥有相应的权限。需要进行权限检查的文件路径。F_OK:检查文件是否存在R_OK:检查是否拥有读权限W_OK:检查是否拥有写权限X_OK:检查是否拥有执行权限检查项通过则返回 0,表示拥有相应的权限并且文件存在;
linux中: IDEA 由于JVM 设置内存过小,导致打开项目闪退问题
m0_72560900的博客
06-12 336
linux(debian/ubuntu)中idea的插件默认安装位置和配置文件在哪里?
Linux Kernel入门到精通系列讲解(RV-Kernel 篇) 5.2 从零移植 Ubuntu,基于RISC-V
DSMGUOGUO的博客
06-10 158
之前,我们要知道几个概念,这样有助于后续移植。2. kernel和rootfs的调用关系。已经跑起来了,接下来我们就移植。3. 移植ubuntu。4. 运行ubuntu。6. 吐槽ubuntu。
MySQl基础----Linux下搭建mysql软件及登录和基本使用(附实操图超简单一看就会)
溟洵的博客
06-10 745
本章非常基础包括如何在Linux上搭建(==当然上面的SQL语句你在其他能执行SQL语句的软件上也能正常执行,并非一定要在Linux环境下==)和mysql的基本使用
Linux Shell命令vim使用
weixin_73074505的博客
06-12 303
其中第一个直接在Linux终端在线进行,第二个则是vim编辑器中的(所谓vim编辑器可以看成将代码写进一个文件进行编辑运行)第三个vim是对文件的操作,这也是Linux最大的作用。以判断引出(学过C++其他语言容易接受)。测试当前用户对某文件是否具有“可执行”权限。测试当前用户对某文件是否具有“可读”权限。测试当前用户对某文件是否具有“可写”权限。等待时间,到时间则停止输入。参数个数 如限制密码长度。测试文件是否为普通文件。屏蔽回显,用于输入密码。输入终结符 例如输入。
Linux_应用篇(17) FrameBuffer 应用编程
最新发布
weixin_41252596的博客
06-13 515
linux FrameBuffer 应用编程
setenforce: SELinux is disabled解决办法
05-30
SELINUX的值改为enforcing,保存并退出。 2. 重启系统使配置生效。 ``` sudo reboot ``` 3. 确认SELinux是否已经启用。 ``` getenforce ``` 如果输出结果为Enforcing,表示SELinux已经启用。 请注意,启用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值