Linux操作系统安全:使用 Apache 服务部署静态网站了解SELinux

最新推荐文章于 2023-07-13 11:07:40 发布
最新推荐文章于 2023-07-13 11:07:40 发布
阅读量255 收藏 1
点赞数
分类专栏: 网络对抗技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lm19770429/article/details/114839084
版权

没有apache,先安装

yum install httpd

启用 httpd 服务程序并将其加入到开机启动项中,使其能够随系统开机而运行,从而持续为用户提供 Web 服务

systemctl start httpd

systemctl enable httpd 
 

配置服务文件参数

Linux 系统中的配置文件

httpd 服务程序的主配置文件的构成

配置 httpd 服务程序时最常用的参数以及用途描述

DocumentRoot 参数用于定义网站数据的保存路径,其参数的默认值是把网站数据存放到/var/www/html 目录中

SELinux 安全子系统 
 

mkdir /home/wwwroot

echo "The New Web Directory" > /home/wwwroot/index.html 

打开 httpd 服务程序的主配置文件

参数 DocumentRoot 修改为/home/wwwroot,参数 Directory 后面的路径也修改为/home/wwwroot,如下:

重新启动 httpd 服务程序,无法浏览,Forbidden,You don't have permission to access /index.html on this server.

原因是:SELinux

SELinux(Security-Enhanced  Linux),一个强制访问控制(MAC,Mandatory  Access  Control)的安全子系统

从多方面监控违法行为:对服务程序的功能进行限制(SELinux 域限制可以确保服务程序做不了出格的事情);对文件资源的访问限制(SELinux 安全上下文确保文件
资源只能被其所属的服务程序进行访问)。

SELinux 服务有三种配置模式,具体如下。 
  enforcing:强制启用安全策略模式,将拦截服务的不合法请求。 
  permissive:遇到服务越权访问时,只发出警告而不强制拦截。 
  disabled:对于越权的行为不警告也不拦截。 

修改配置文件:vim /etc/selinux/config

getenforce 命令获得当前 SELinux服务的运行模式

setenforce  [0|1]命令修改 SELinux 当前的运行模式(0 为禁用,1 为启用)。

办法:

查看原始网站数据的保存目录与当前网站数据的保存目录是否拥有不同的 SELinux 安全上下文值

ls -Zd /var/www/htm

ls -Zd /home/wwwroot

对比分析不同:

SELinux 安全上下文是由用户段、角色段以及类型段等多个信息项共同组成的。

用户段 system_u 代表系统进程的身份,

角色段 object_r 代表文件目录的角色,
类型段 httpd_sys_content_t 代表网站服务的系统文件。

操作:使用 semanage 命令,将当前网站目录/home/wwwroot 的SELinux 安全上下文修改为跟原始网站目录的一样就可以了

semanage 命令用于管理 SELinux 的策略,格式为“semanage [选项] [文件]”。

经常用到的几个参数及其功能如下所示: 
  -l 参数用于查询; 
  -a 参数用于添加; 
  -m 参数用于修改; 
  -d 参数用于删除。 

向新的网站数据目录中新添加一条 SELinux 安全上下文,让这个目录以及里面的所有文件能够被 httpd 服务程序所访问到

semanage fcontext -a -t httpd_sys_content_t /home/wwwroot 
semanage fcontext -a -t httpd_sys_content_t /home/wwwroot/*

执行上述设置之后,还无法立即访问网站,还需要使用 restorecon 命令将设置好的 SELinux 安全上下文立即生效。在使用 restorecon 命令时,可以加上-Rv 参数对指定的目录进行递归操作,以及显示 SELinux 安全上下文的修改过程。最后,再次刷新页面,就可以正常看到网页内容了

个人用户主页功能

第 1 步:在 httpd 服务程序中,默认没有开启个人用户主页功能。为此,我们需要编辑下
面的配置文件,然后在第 17 行的 UserDir disabled 参数前面加上井号(#),表示让 httpd 服务
程序开启个人用户主页功能;同时再把第 24 行的 UserDir  public_html 参数前面的井号(#)
去掉(UserDir 参数表示网站数据在用户家目录中的保存目录名称,即 public_html 目录)。最
后,在修改完毕后记得保存。 

第 2 步:在用户家目录中建立用于保存网站数据的目录及首页面文件。另外,还需要把
家目录的权限修改为 755,保证其他人也有权限读取里面的内容。

在用户主目录~下: 
mkdir public_html

echo "This is linuxprobe's website" > public_html/ index.html 
chmod -Rf 755 /home/用户名
 
第 3 步:重新启动 httpd 服务程序,在浏览器的地址栏中输入网址,其格式为“网址/~用户名”(其中的波浪号是必需的,而且网址、波浪号、用户名之间没有空格),从理论上来
讲就可以看到用户的个人网站了。不出所料的是,系统显示报错页面。这一定还是 SELinux 惹的祸。 

第 4 步:思考这次报错的原因是什么。httpd 服务程序在提供个人用户主页功能时,该用
户的网站数据目录本身就应该是存放到与这位用户对应的家目录中的,所以应该不需要修改
家目录的 SELinux 安全上下文。但是,前文还讲到了 Linux 域的概念。Linux 域确保服务程序
不能执行违规的操作,只能本本分分地为用户提供服务。httpd 服务中突然开启的这项个人用
户主页功能到底有没有被 SELinux 域默认允许呢? 

接下来使用 getsebool 命令查询并过滤出所有与 HTTP 协议相关的安全策略。其中,off为禁止状态,on 为允许状态。

getsebool -a | grep http 
发现

可以用setsebool 命令来修改 SELinux 策略中各条规则的布尔值了。

一定要记得在 setsebool 命令后面加上-P 参数,让修改后的 SELinux 策略规则永久生效且立即生效。

 

 

 

花纵酒
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ApacheSELinux
我是个程序员
01-05 6426
配置Apache经常遇到的一个问题就是,Permission Denied,奇怪之处在于,我已经把owner:group都设置成apache,并且各级目录的访问权限也都正确设置,仍然还是在进行文件操作的时候Permission Denied.问题的真正原因一般出在SELinux上。SELinux是「Security-EnhancedLinux」的简称,是美国国家安全局「NSA=The Na
如何使用Apache服务部署静态网站
qq_45364825的博客
03-16 768
本节内容主要讲解了在linux使用Apache提供的网站服务程序,如何部署静态网站
Selinux结合Apache使用
seward
10-11 1017
身份 角色 域(类型) 身份 角色 域 小明 男性 进去男厕所 小红 女性 进去女厕所 启用selinux  setup 修改配置文件 #vim /etc/selinux/config SELINUX=enforcing SELINUXTYPE=targeted 为了保证审计正常和某些图形管理工具正常,
linux apache selinux,Selinux结合Apache使用
weixin_42500684的博客
05-14 173
满意答案dlcwys2016.10.09采纳率:50%等级:9已帮助:567人Selinux结合Apache使用身份角色域(类型)身份 角色 域小明 男性 进去男厕所小红 女性 进去女厕所启用selinuxsetup修改配置文件#vim /etc/selinux/configSElinux=enforcingSElinuxTYPE=targeted为了保证审计正常和某些图形管理工具正常,必...
apache部分文件无法访问,因开启selinux导致
小江湖
09-10 617
通过网页无法访问,curl 报错。部分文件无法访问 [root@idc_yum ~]# curl http://127.0.0.1/centos/Packages/containerd.io-1.4.9-3.1.el7.x86_64.rpm <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head&gt
配置安全linux-apache服务器(5)
yyj1781572的博客
02-05 1062
本实验通过基本配置演示了如何在liux环境下搭建多个基于apache服务器的虚拟主机。
基于SELinux的Web服务部署研究.pdf
10-30
SELinux(Security-Enhanced Linux)是一种强制访问控制系统,为Linux系统提供了额外的安全层。它超越了传统的自由访问控制(DAC),实现了强制访问控制(MAC),允许系统管理员创建更为细致且灵活的安全策略。在...
企业级Tomcat部署实践及安全调优1
08-03
Tomcat可以单独作为Servlet和JSP容器运行,也可以与其他Web服务器如Nginx或Apache HTTPD结合使用,以提高处理静态内容的能力。目前,Tomcat的最新版本是9.0,而其他常见的Java容器有Resin、WebLogic等。 1.1.1 JDK...
suse linux administration教程
06-02
2. Linus Torvalds与Linux:1991年,Linus Torvalds不满意MINIX的性能,开始了Linux操作系统的开发。他最初将其视为个人爱好项目,随着时间推移,Linux迅速发展成为一个全球开发者协作的开源项目。 三、SUSE Linux ...
Redhat7.6安装CDH6.3.3.pdf
11-16
在开始安装之前,确保你有一个干净的Redhat 7.6操作系统环境。这个环境应当满足CDH的硬件和软件需求,包括足够的内存、磁盘空间以及兼容的CPU。 ### 2. 前期准备 #### 2.1. 网络设置 确保所有节点能够正常通信,...
linux(redhat7)学习笔记(10)APACHE
天哥--天行健君子以自强不息
03-20 1439
一、网站服务程序 1.先通过虚拟机光驱指向REHL7的ISO文件 2.挂载光驱设备到目录 mkdir -p /media/cdrom mount /dev/cdrom /media/cdrom 也可以vim /etc/fstab 将挂载内容写入 /dev/cdrom /media/cdrom iso9660 defaults 0 0 3. Vim 文本编辑器创建Yum 仓库的配置文件...
semanage命令详解
热门推荐
Listen2You的博客
10-13 2万+
导读 semanage命令是用来查询与修改SELinux默认目录的安全上下文。SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。下面让我们详细讲解一下chcon命令的使用方法。 语法 semanage {login|user|port|interface|fcontext|
linux——安装配置Apache
m0_65544268的博客
07-13 1370
卸载安装组件检查1)查看当前selinux的状态getenforceEnforcing-->表示开启状态Disabled-->表示关闭状态2)临时关闭selinux直接修改内存,可以立刻生效,但是下次开机后,你的关闭操作就失效了3)永久关闭selinux只能通过修改配置文件来关闭修改配置文件,必须等下次开机的时候,关闭操作才会生效selinux的配置文件将修改为。
SELinux 下网络服务设置:Apache
vitasa的博客
08-09 4544
http://os.51cto.com/art/201204/332440.htm
linux中启动httpd服务器,SELinux在httpd服务端中的使用
weixin_36362326的博客
04-28 762
一、启用SELinux策略并安装httpd服务,改变网站的默认主目录为/website,添加SELinux文件标签规则,使网站可访问(以CentOS7系统操作)1、首先查看本系统是否已经安装httpd服务2、查看httpd的配置文件所在路径3、创建主目录为/website与网页文件"index.html",并更改httpd服务为该路径4、给创建的目录打上标签,避免进程索取不到资源5、清除防火墙规则...
centos中selinux功能及常用服务配置
reblue520的专栏
03-08 575
SELinux: Secure Enhenced Linux 常用命令 获取selinux的当前状态: # getenforce 临时启用或禁用: # setenfoce 0|1 永久性启用,需要修改配置文件 /etc/sysconfig/selinux 设置:SELINUX=permissive  /etc/selinu...
STM32晶振频率8M改12M
qq_41792456的博客
11-10 503
STM32晶振频率8M改12M 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高
linux下配置apache服务
qq_37977213的博客
11-18 4054
什么是apache服务apache是一款web服务程序,常见的web服务程序有Apache、Nginx、IIS等。其中,IIS(Internet Information Service,互联网信息服务)是Windows系统中默认的Web服务程序。 各种web服务器占有率 安装apche服务 (整个服务配置以rhel 7版本为例) apche服务的软件包名称为httpd [root@localhost ~]# yum install -y httpd 如果安装未成功可能是因为网络问题,先ping一下
Linux操作系统网络安全
最新发布
09-12
Linux操作系统在网络安全方面有很多特性和工具,可以帮助用户增强系统的安全性。以下是一些常见的Linux网络安全措施: 1. 防火墙:Linux操作系统通常自带防火墙工具,如iptables和nftables,可以配置限制网络流量和访问规则,阻止未经授权的访问。 2. SELinux和AppArmor:这些是Linux内核的安全模块,可以强制执行访问控制策略和限制进程的权限,防止恶意软件和攻击者利用操作系统漏洞。 3. 网络监控工具:如tcpdump和Wireshark等工具可以用于监控、分析和调试网络流量,帮助检测和识别潜在的安全威胁。 4. 加密通信:Linux支持多种加密协议和算法,如SSH和TLS/SSL,可以保护网络通信的机密性和完整性。 5. 更新和补丁:定期更新操作系统和应用程序补丁是保持系统安全的重要步骤,以修复已知漏洞和弱点。 6. 安全策略配置:合理配置用户权限、访问控制列表(ACL)和安全策略,限制对系统资源的访问和操作。 7. 审计日志:启用系统日志和审计机制,记录和监控系统活动,便于分析和调查安全事件。 这些只是一部分Linux网络安全措施,用户可以根据具体需求和场景选择适合自己的其他安全工具和实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值