搭建web服务器的SElinux策略保护 SElinux修改默认端口 安全web服务

最新推荐文章于 2021-04-29 21:36:11 发布
最新推荐文章于 2021-04-29 21:36:11 发布
阅读量300 收藏 4
点赞数
文章标签: 网络
原文链接:https://yq.aliyun.com/articles/502083
版权 
 搭建web服务器的SElinux策略保护

方式:参照标准目录,重设新目录的属性。
 chcon  -R  --reference=标准目录   新目录
安全上下文(标签)

例: chcon -R --reference=/var/www/ /webroot

使用自定web更目录

1.修改配置文件/etc/httpd/conf.d/haha.conf
<virtualHost *:80>
DocumentRoot /webroot 
ServerName www.baidu.com
</virtualHost>

2.创建目录与网页文件
mkdir /webroot
echo 我的网页 >/webroot/index.html

3.修改访问控制配置文件,/etc/httpd/conf.d/haha.conf
<Directory "/webroot">
Require all granted
</Directory>

4.修改SElinux标签值
chcon -R -reference=/var/www /webroot

5.重启服务httpd
6.检测

   SElinux修改默认端口
         semanage  port  -l |grep httpd  查看允许端口
    semanage  port  -a  -t  http _port _t  -p  tcp 8909(添加8909端口) 
    semanage  port  -d -t  http _port _t  -p  tcp 8909(删除8909端口) 

      安全web服务
 安全的超文本协议https端口号为:443
 PKI公钥基础设施
 public  key  infrastructre  公钥基础设施
 公钥:主要用来加密数据

 私钥:只要用来解释数据(与相应的公钥匹配)

 数字证书:证明拥有者的合法性/权威性

 Certificate Authority 数字证书授权中心:

 负责证书的申请/审核/颁发/鉴定/撤销等管理工作。 

 HTTPS加密web通信(TCP 443端口)

 Secure Sockets Layer     安全套接字层

 Transport Layer Security 安全传输协议 

 实现条件:
1.启用SSL模块支持
2.部署好加密素材:网站服务器的数字证书、网站服务器的私钥。
3.根证书(CA管理机构的证书)

 步骤:
1.安装mod_ssl软件包

2.部署网站的证书
  cd /etc/pki/tls/certs
  wget http://192.168.4.254/pub/tls/certs/www.crt

3.部署网站的根证书
  cd /etc/pki/tls/certs
  wget http://192.168.4.254/pub/baidu-ca.crt

4.部署私钥(用于解密)
  cd /etc/pki/tls/private
  wget http://192.168.4.254/pub/tls/private/www.key

5.修改配置文件/etc/httpd/conf.d/ssl.conf
   <VirtualHost_default_:443>
    DocumentRoot /webroot
    ServerName  www.baidu.com:443
    SSLcertificateFile  /etc/pki/tls/certs/www.crt
    SSLcertificateFile  /etc/pki/tls/private/www.crt
    SSLcertificateFile  /etc/pki/tls/certs/baidu-ca.crt

6.检测

firefox https://www.baidu.com



本文转自夜流璃雨 51CTO博客,原文链接:http://blog.51cto.com/13399294/2044283,如需转载请自行联系原作者


weixin_33911824
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux系列(七)——SELinux安全上下文的修改和设置(chcon和restorecon命令)
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-06 2240
安全上下文的修改是我们必须掌握的,其实也并不难,主要是通过两个命令来实现的。 chcon 命令格式如下: [root@localhost ~]# chcon [选项] 文件或目录 选项: -R: 递归,当前目录和目录下的所有子文件同时设置; -t: 修改安全上下文的类型字段,最常用; -u: 修改安全上下文的身份字段; -r: 修改安全上下文的角色字段; 举个例子: 在我们的apache web服务器 建立一个网页文件,并写入“test page!.
Centos 下搭建FTP上传下载服务器的方法
09-15
总结来说,搭建一个FTP服务器在CentOS下涉及安装`vsftpd`,配置`vsftpd.conf`,创建用户,设置权限,管理SELinux策略以及防火墙设置。通过这些步骤,我们可以建立一个安全、稳定的FTP服务,方便远程文件操作。希望...
安全上下文管理命令chcon
chouzhi7161的博客
07-12 222
命令chcon 用途:更改文件的SELinux安全上下文 语法:chcon [选项] [参数] 文件 选项: --reference=RFILE 指定参考文件RFILE修改文件的安全上下文 -R, --recursive 递归地处理文件和目录 ...
SELinux修改文件上下文:
北游的日常
04-26 2306
修改文件上下文:以访问Apache返回Forbidden为例,非/var/www/目录的虚拟主机)Apache路径(/var/www/)的上下文为httpd_sys_content_t下面介绍三种方法,详见下文。暂时性修改:方法一:(直接修改上下文)       chcon-R -thttpd_sys_rw_content_t /http_vhost_te...
chcon命令详解
热门推荐
oqqSSH的博客
09-16 1万+
chcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件的安全环境变更至指定环境。使用--reference选项时,把指定文件的安全环境设置为与参考文件相同。chcon命令位于/usr/bin/chcon。下面让我们详细讲解一下chcon命令的使用方法。 语法 chcon [选项]... 环境 文件... chcon [选项]... [
linux chcon命令 修改对象(文件)的安全上下文
whatday的专栏
01-06 1272
修改对象(文件)的安全上下文 chcon命令是修改对象(文件)的安全上下文,比如:用户、角色、类型、安全级别。也就是将每个文件的安全环境变更至指定环境。使用--reference选项时,把指定文件的安全环境设置为与参考文件相同。chcon命令位于/usr/bin/chcon。 语法 chcon [选项]... 环境 文件... chcon [选项]... [-u 用户] [-r 角色] ...
centos7作为web服务器优化.docx
12-04
搭建和优化CentOS 7作为Web服务器的过程中,有多个关键步骤可以显著提升系统的性能和安全性。以下是对这些步骤的详细解释: 1. 关闭Firewalld服务:Firewalld是CentOS 7中的默认防火墙,但它可能不是最优选择,...
VSFTPD+NGINX搭建图片服务器
01-20
搭建图片服务器通常涉及到两个主要组件:FTP服务器(VSFTPD)用于文件上传和下载,以及Web服务器(Nginx)用于静态资源的HTTP服务。以下是对这两个组件的详细配置和安装步骤。 **VSFTPD的安装与配置** 1. **安装...
在Fedora 10下配置SVN服务器的步骤
09-16
为了使SVN服务能够正常运行,还需要调整SELinux安全策略,确保Apache进程可以访问版本库: ```bash chcon -R -h u:object_r:httpd_sys_content_t /var/svn/repos ``` ##### 六、配置SVN访问控制 SVN提供了多种...
用CentOS_(LINUX)搭建服务器的详细教程
11-27
- **使用SELinux**:CentOS自带的SELinux提供了强大的安全策略机制,可以根据实际需求调整安全策略。 #### 七、总结 通过上述步骤,我们可以成功地使用CentOS搭建一个基本的服务器,包括Web服务、数据库服务、FTP...
linux web服务安全配置,使用SELinux安全上下文保护Web服务
weixin_29657209的博客
04-29 331
使用SELinux安全上下文保护Web服务器假设我们想要在Linux服务器上运行Apache Web服务器程序,由于这台服务器会运行一些关键应用,并暴露在互联网上,所以我们想确保这台Web服务器受到尽可能多的保护。如果你启动Web服务并尝试配置你的Web服务器允许执行某些CGI脚本,如hello.pl,那么如果不改变SELinux的配置,Linux系统日志和SELinux审计日志都会记录到错误。...
selinux安全加固
weixin_45697293的博客
11-16 283
文章目录1.SELinux介绍2.SELinux策略3.五个安全元素4.设置SELinux5.修改SELinux安全标签6.默认安全上下文查询与修改7.SElinux端口标签8.SELinux布尔值9.SELinux日志管理例如最主要要的是禁用selinux主机的selinux禁用一台主机用expect实现批量多个主机的selinux禁用 国内基本上没人用selinux(太麻烦)所以都是禁用的 例如:httpd服务如果没有selinux策略,黑客可能会以root身份访问你的其他目录 1.SELinux介绍
SElinux解决web网站无法访问
weixin_30257433的博客
10-01 979
SElinux解决web网站无法访问工具/原料centos 6.5系统httpd web服务SELinux 设置为enforcing:强制模式,代表 SELinux 运作中 方法/步骤1. 1setroubleshoot用于把SELinux 的错误讯息与克服方法记录到 /var/log/messages 与 /var/log/setroubleshoot/* 里头,所以一定要启动该服务。所...
SELinux安全策略:非默认端口开放
sda1_hacker的博客
05-14 1819
有这么一个需求: 在防火墙为关闭状态的情况下,为http服务配置基于域名的虚拟主机,ServerName为www0.nb.com,DocumentRoot为/var/www/private,访问的端口改为8909。 首先在调用配置文件的目录/etc/httpd/conf.d/下创建一个空白的配置文件xxx.conf,配置如下: Listen 8909 <VirtualHost *:8909&...
Linux系统selinux工作模式下安全上下文的设置以及端口的更改
letter_A的博客
05-16 4585
SELinux是「Security-Enhanced Linux」的简称,是美国国家安全局「NSA=The National Security Agency」 和SCC(SecureComputingCorporation)开发的 Linux的一个扩张强制访问控制安全模块。原先是在Fluke上开发的,2000年以 GNU GPL 发布。SELinux是一种基于域-类型模型(domain...
SELinuxWeb服务及管理、防火墙策略管理
qq_41345380的博客
06-15 994
文章目录系统安全保护SElinux安全机制SElinux概述SElinux运行模式的切换1. SELinux的运行模式2. 切换运行模式案例:启用SELinux保护重设root用户密码遗忘root用户密码故障现象解决思路构建基本的Web服务1. 安装可以提供Web服务功能的软件httpd软件构建Web服务2. 安装运行3. 本机测试()服务管理systemd 上帝进程Linux系统和服务管理器传统的 init 程序风格systemd 服务管理管理运行级别RHEL6 运行级别 300RHEL7 运行模式(运.
linux加固
weixin_30414155的博客
12-05 273
1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号,降低安全风险。 操作步骤 使用命令userdel <用户名>删除不必要的账号。 使用命令passwd -l <用户名>锁定不必要的账号。 使用命令passwd -u <用户名>解锁必要的账号。 1.2 检查特殊账号 检查是否存在空口令和root权限的账号。 操作...
RHCSA 系列(九): 安装、配置及加固一个 Web 和 FTP 服务器
weixin_33884611的博客
05-02 130
Web 服务器(也被称为 HTTP 服务器)是在网络中将内容(最为常见的是网页,但也支持其他类型的文件)进行处理并传递给客户端的服务。 FTP 服务器是最为古老且最常使用的资源之一(即便到今天也是这样),在身份认证不是必须的情况下,它可通过客户端在一个网络访问文件,因为 FTP 使用没有加密的用户名和密码,所以有些情况下不需要验证也行。 在 RHEL 7...
提升Nginx安全防护:20步详解Linux服务器配置
Nginx作为一款轻量级、高效能的Web服务器,因其异步事件驱动...通过这些步骤,你可以显著提高Nginx Web服务器的安全性,为您的在线业务提供更好的保护。记得持续关注安全更新和最佳实践,以适应不断变化的威胁环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值