本文详细介绍了Selinux(Security Enhanced Linux)的安全管理,包括其目标、配置文件上下文、进程与文件交互控制、端口访问控制以及布尔值设定。通过实例展示了如何解决因Selinux限制导致的文件和端口访问问题。此外,还涉及了Selinux用户与角色、逻辑卷管理等内容,强调了其在提升系统安全性和复杂结构管理中的作用。
管理Selinux安全性
Selinux(Security Enhanced Linux:安全增强linux)
目标
selinux如何保护资源以及如何选择执行模式
内容
配置文件的Selinux上下文;
控制进程与文件交互;
文件/目录(ugo+acl–user),进程,端口;
配置selinux布尔值
允许针对不同的访问需求更改运行时策略
一组可防止一个应用程序(服务web)的弱点影响到其他应用或基础系统的访问规则。
提供一个额外的安全层,并增加复杂结构。
关于两个层面服务的加强:DAC(用户)和 MAC(进程)
主体:用户和进程
两种访问控制
自主访问控制:ugo/rwx基本权限
文件系统的特殊位
访问控制列表
强制访问控制:
NSA的安全增强型Linux
Ctrl + alt + A 截屏,里面可以用红笔圈出,可以打马赛克(在打开QQ的前提下)
default 缺省
能访问/var/www/html/index.html
但不能访问/var/www/html/file1
是由于Selinux限制了访问,可以通过两种方法来解决不能访问的问题
(1)让selinux放行噢,
(2)改文件的上下文内容
Selinux-port访问控制
(1)现在把侦听改为82,发现要swg:82才能访问,重启httpd是为了是修改生效
我们发现,把非标准端口82添加到预留端口了,所以重启httpd能成功。
第三种disabled需要手动去设置,前两种用setenforce 0 和1 即可设置
在/etc/sysconfig/selinux 下,修改后重启生效
Selinux用户与角色
Selinux布尔值及设置
本来1.sh是为了显示当前路径的一个脚本
当把布尔值改为 off 时,就不能进入此文件目录也不能执行此文件
这两个命令效果一样
管理基本存储
挂载swap 分区只需要直接挂载就行,不需要创建挂载文件
reboot生效
本地存储实验课:(gdisk)
卸载一般分区 :使用umount 和 删除/etc/fstab里面关于挂载的内容
卸载交换分区,先swapon -s 查看,用swapoff /dev/sdb5关闭
gdisk 优势,可以创建128个主分区
创建完后执行 partprobe /dev/sdb 才能生效
管理逻辑卷-lvm
只有逻辑卷才能切割,比如一个9G的文件,但只有三个3G的U盘,需要将9G的文件切割成三份才能进行存储,所以就引入了逻辑卷。
步骤:
1)创建物理卷 前提是LVM
2)创建卷组
vgdisplay查看,
32 * 62就是VG的容量
vgs查看vg容量
对刚创建的qagroup扩容,把/dev/sdc扩展到刚sdb3和sdb4
通过vgs查看发现已经扩容了20G,这也是/dev/sdc的内存
有了vg 就可以创建lv
lvcreate -l 20 -n qa qagroup #- l 20意思就是20个PE的大小,960M,n表示名字为qa, 在qagroup下
将lv扩展到960M,意思就是在640M的前提下扩展内存至960M
因为最终lvm要到文件系统使用,所以要格式化并挂载到文件系统,让它永久生效
现在如果想对qa进行扩容,三步到位
lvresize -L 2048M /dev/qagroup/qa
resize2fs /dev/mapper/qagroup-qa
reszie2fs /mnt/qa
删除逻辑卷
删除卷组
删除物理卷
缩减LV
469
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
