在非标准配置中为 Apache HTTP 服务器自定义 SELinux 策略

已于 2022-05-06 20:13:49 修改
阅读量535 收藏 2
点赞数 1
分类专栏: linux实验 文章标签: SELinux http
于 2022-04-22 20:59:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53308294/article/details/124352057
版权

文章目录

一.下载软件包

[root@localhost ~]# yum install policycoreutils-python-utils -y
[root@localhost ~]# yum install setroubleshoot-server -y
注意:
下载前需要先挂载,因为我之前的实验已经下载了httpd软件包,在这里就没有下载了,没有的需要下载。
在这里插入图片描述
这样就下载ok了。

二.创建目录,写入内容

[root@localhost ~]# mkdir /www/test
[root@localhost ~]# cd /www
[root@localhost www]# echo welcome to test >test/index.html

在这里插入图片描述

三.写配置文件

[root@localhost ~]# cd /etc/httpd/conf.d
[root@localhost conf.d]# vim host.conf

<directory /www>
allowoverride
require all granted
</directory>
listen 9091
<virtualhost 0.0.0.0:9091>
documentroot /www/test
servername 192.168.24.129
</virtualhost>

在这里插入图片描述

在这里插入图片描述

四.启动httpd服务并检查状态

[root@localhost conf.d]# systemctl start httpd
在这里插入图片描述

会有报错。提示为不能绑定端口。

五.SELinux策略运行在9091端口

[root@localhost conf.d]# semanage port -l | grep http

在这里插入图片描述

SELinux策略在httpd的80端口上运行的,我们现在需要让它在9091上面运行:
[root@localhost conf.d]# semanage port -a -t http_port_t -p tcp 9091
[root@localhost conf.d]# semanage port -l | grep http
在这里插入图片描述

六.重启服务

[root@localhost conf.d]# systemctl start httpd
[root@localhost conf.d]# systemctl status httpd

在这里插入图片描述
服务就启用在9091和80端口

七.排查内容无法访问的原因

[root@localhost conf.d]# wget 192.168.24.129:9091
访问时报错
在这里插入图片描述
[root@localhost conf.d]# sealert -l “*” | grep preventing 排查原因
在这里插入图片描述
最后一行提示我们说,需要让/www/test/index.html 获取到服务器访问权限。

也可以使用matchpathcon工具比较标准SELinux类型和新路径
[root@localhost conf.d]# matchpathcon /var/www/html /www/test (注意空格)
在这里插入图片描述
/var/www/html是默认路径,也就是允许 Apache(web 服务器进程作为 httpd_t 运行)访问的路径。/www/test 是我们定义的新路径。
通过比对发现:/var/www/html 的标签是httpd_sys_content_t。/www/test 标签是default_t。标签对不上就不能访问,所以我们接下来需要修改标签

八.修改标签

将新 /var/test_www/html/ 内容目录的 SELinux 类型改为默认 /var/www/html 目录的类型:
[root@localhost conf.d]# semanage fcontext -a -e /var/www/html /www/test
[root@localhost conf.d]# matchpathcon /var/www/html /www/test
在这里插入图片描述

九.递归重新标记 /www/test 目录

[root@localhost conf.d]# restorecon -Rv /www/test
[root@localhost conf.d]# ll /www/test -Z

在这里插入图片描述

十.验证:

  1. 检查 httpd 服务是否正在运行
    [root@localhost conf.d]# systemctl status httpd
    在这里插入图片描述

  2. 验证 Apache HTTP 服务器提供的内容是否可以访问
    [root@localhost conf.d]# wget 192.168.24.129:9091

在这里插入图片描述
[root@localhost conf.d]# wget 192.168.24.129:9091/index.html
在这里插入图片描述
成功访问到。这个实验就结束了。

世界很大,我很小
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CentOS7-快速搭建HTTP服务器、配置SELinux访问控制
小黎的博客
03-31 1237
快速搭建HTTP服务器自定义web根目录、配置SELinux访问控制1.Server安装HTTP软件:httpd2.Server部署网页界面3.Server配置HTTP防火墙4.Client测试打开网页拓展5.自定义web根目录5.1创建wbe根目录5.2.修改配置文件5.2.1.指定web根目录5.2.2.指定访问控制5.配置SELinux访问控制5.1.查看当前SELinux状态5.2.修改SELinux策略 1.Server安装HTTP软件:httpd [root@Server ~] yum -y
linux——安装配置Apache
m0_65544268的博客
07-13 1420
卸载安装组件检查1)查看当前selinux的状态getenforceEnforcing-->表示开启状态Disabled-->表示关闭状态2)临时关闭selinux直接修改内存,可以立刻生效,但是下次开机后,你的关闭操作就失效了3)永久关闭selinux只能通过修改配置文件来关闭修改配置文件,必须等下次开机的时候,关闭操作才会生效selinux的配置文件将修改为。
在linux中启动httpd服务器,SELinuxhttpd服务端中的使用
weixin_36362326的博客
04-28 770
一、启用SELinux策略并安装httpd服务,改变网站的默认主目录为/website,添加SELinux文件标签规则,使网站可访问(以CentOS7系统操作)1、首先查看本系统是否已经安装httpd服务2、查看httpd的配置文件所在路径3、创建主目录为/website与网页文件"index.html",并更改httpd服务为该路径4、给创建的目录打上标签,避免进程索取不到资源5、清除防火墙规则...
探索Arch Linux Hardened的安全新境界:SELinux Policy for Arch
最新发布
gitblog_00059的博客
04-24 269
探索Arch Linux Hardened的安全新境界:SELinux Policy for Arch 项目地址:https://gitcode.com/archlinuxhardened/selinux-policy-arch 在开源世界中,安全和隐私始终是不可忽视的主题。当谈到Linux安全强化时, SELinux(Security Enhanced Linux)是一个强大的工具,它为系统提...
Selinux结合Apache使用
seward
10-11 1017
身份 角色 域(类型) 身份 角色 域 小明 男性 进去男厕所 小红 女性 进去女厕所 启用selinux  setup 修改配置文件 #vim /etc/selinux/config SELINUX=enforcing SELINUXTYPE=targeted 为了保证审计正常和某些图形管理工具正常,
apache部分文件无法访问,因开启selinux导致
小江湖
09-10 622
通过网页无法访问,curl 报错。部分文件无法访问 [root@idc_yum ~]# curl http://127.0.0.1/centos/Packages/containerd.io-1.4.9-3.1.el7.x86_64.rpm <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head&gt
在Linux操作系统的环境下,利用命令配置Apache服务器
07-23
在Linux操作系统,特别是CentOS 7环境下,配置Apache服务器是一个基础但重要的任务,这对于学习Web服务器管理和运维至关重要。Apache是世界上最流行的开源Web服务器,广泛应用于各种规模的企业和组织。下面将详细...
Linux下Apache服务器的配置和应用
08-02
Apache服务器在Linux环境下的配置与应用】 Apache服务器是世界上最流行的Web服务器软件之一,尤其在Linux操作系统中,它被广泛用于搭建网站和服务。本篇主要介绍如何在Linux系统下配置Apache服务器,包括建立个人...
操作系统安全:实验配置selinux策略(实验一).docx
06-02
操作系统安全是IT领域中的核心议题,特别是在服务器管理与网络服务中。SELinux(Security-Enhanced Linux)是一种强制访问控制(MAC)系统,它增强了Linux内核的安全性,通过精细的策略来限制进程对系统资源的访问。...
配置Selinux增强服务器安全
01-29
配置Selinux增强服务器安全,常不错的,写的常好,可以参考看看
Linux中selinux基础配置教程详解
09-15
本文将深入讲解如何在Linux环境中配置SELinux的基础知识。 首先,SELinux有三种工作模式: 1. **Enforcing**:强制模式。在该模式下,SELinux会严格限制不同安全域(domain)和类型(type)之间的交互,任何不符合策略...
Linux Selinux机制
四儿家的小祖宗的博客
03-22 671
主要介绍linux selinux机制,另举例解释如何添加selinux规则
嵌入式系统移植三步曲 孟明明
张同光 (Tongguang Zhang):Hello everyone !
03-30 421
嵌入式系统移植三步曲 班级:09计应一班     姓名:孟明明        学号:0906041052   1. Bootloader的移植 2. linux 内核的编译 3. linux根文件系统移植   1.BootLoader的移植,修改Makefile文件内容,将 ifeq ($(ARCH),arm) CROSS_COMPILE = arm-linux- endif
SELinux安全策略的设置及应用
weixin_34336292的博客
09-19 532
今天给大家分享的可能是很多人觉得没什么意义的一项内容,其实不是它没什么意义,而是说它使用起来比较麻烦,因为启用SELinux安全策略之后,每个应用程序的访问域和文件的安全标签都是需要严格匹配后,才能执行访问操作的,所以如果稍有设置上的不当,便会导致应用程序出错,但任何事情都是双面性的,自己设置起来比较麻烦的同时,也给相应的应用程序数据提供了足够的安全保障,比如说,我们...
SELinux 下网络服务设置:Apache
vitasa的博客
08-09 4559
http://os.51cto.com/art/201204/332440.htm
linux apache selinux,Selinux结合Apache使用
weixin_42500684的博客
05-14 177
满意答案dlcwys2016.10.09采纳率:50%等级:9已帮助:567人Selinux结合Apache使用身份角色域(类型)身份 角色 域小明 男性 进去男厕所小红 女性 进去女厕所启用selinuxsetup修改配置文件#vim /etc/selinux/configSElinux=enforcingSElinuxTYPE=targeted为了保证审计正常和某些图形管理工具正常,必...
linux下配置apache服务
qq_37977213的博客
11-18 4068
什么是apache服务? apache是一款web服务程序,常见的web服务程序有Apache、Nginx、IIS等。其中,IIS(Internet Information Service,互联网信息服务)是Windows系统中默认的Web服务程序。 各种web服务器占有率 安装apche服务 (整个服务配置以rhel 7版本为例) apche服务的软件包名称为httpd [root@localhost ~]# yum install -y httpd 如果安装未成功可能是因为网络问题,先ping一下
ApacheSELinux
我是个程序员
01-05 6427
配置Apache经常遇到的一个问题就是,Permission Denied,奇怪之处在于,我已经把owner:group都设置成apache,并且各级目录的访问权限也都正确设置,仍然还是在进行文件操作的时候Permission Denied.问题的真正原因一般出在SELinux上。SELinux是「Security-EnhancedLinux」的简称,是美国国家安全局「NSA=The Na
如何配置SELinux的安全策略
04-04
以下是配置SELinux安全策略的一般步骤: 1. 检查SELinux状态:使用命令sestatus确定当前SELinux状态,如果它处于enforcing模式,表示SELinux启用并执行强制访问控制。如果它处于permissive模式,表示SELinux启用,但不执行强制访问控制。 2. 了解SELinux策略:可以使用命令getsebool -a和semanage -l来查看当前系统上的SELinux策略。getsebool命令显示系统上所有布尔值的当前状态,semanage命令显示当前系统上的所有SELinux策略。 3. 配置SELinux策略:可以使用命令setsebool和semanage来配置SELinux策略。setsebool命令用于启用或禁用布尔值。semanage命令用于添加、删除或修改SELinux策略。 4. 调试SELinux策略:如果出现SELinux相关错误,可以使用命令ausearch和ausearch -m avc来查看SELinux日志文件。这些命令将显示SELinux拒绝的操作及其原因。可以使用命令audit2allow将这些错误转换为SELinux策略。 5. 重启系统:在修改SELinux策略后,需要重启系统才能使更改生效。 请注意,配置SELinux策略可能会影响系统的正常运行。因此,在更改SELinux策略之前,建议备份系统并测试更改的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值