中国投资网 百科 人生的路靠自己一步步走去真正能保护你的(关闭selinux命令)

人生的路靠自己一步步走去真正能保护你的(关闭selinux命令)

你的web服务器可能确实受到了攻击,但是SELinux可以用来确保你的网站不必承受真正的伤害。

您可以使用SELinux type来创建一个精确的定义:服务可以做什么以及它在哪里做它需要做的事情。默认情况下,httpd_sys_content类型设置为/var/www,这指定httpd进程可以在这个目录中工作。如果攻击者破坏了Apache Web服务器,并试图在其他地方写,就像Red Hat和Fedora、centos等类似Linux版本的default /tmp,你需要知道你在对付的是什么。如果您将Apache配置为提供/data目录中的内容,SELinux在默认情况下也会阻止这种情况。

由于这些默认设置可能会导致复杂的情况,许多Linux管理员关闭了SELinux。虽然关闭SELinux确实使您的服务器更容易提供服务,但它仍然增加了安全风险。

管理Apache的SELinux设置

管理Apache等服务的SELinux设置并不难。问题是没有简单的图形工具可以让你快速安装。但是您可以只用三个命令来配置它。

为了在您希望服务访问的目录上设置文件类型,您必须首先决定使用哪种文件系统类型。为此,只需在服务使用的默认目录中输入ls -ldZ。

对于Apache,您将使用lsldz/var/www。您会注意到,在这种情况下,z选项提供了额外的文件属性,而t选项是最重要的。这个过程指定了现有的文件系统类型,它是由Apache (httpd_sys_content_t)设置的。这也是您需要根据新文件根目录设置的文件类型。

你可以用两个命令设置你的内容表单:用chcon,你可以做一个临时的改变,重启后就消失了;通过semanage后跟follow by,您可以进行永久性的更改。

semanage命令看似复杂,但实际上非常简单,因为只需要改变想要使用的类型和目标目录。在下面的示例中,您只需要更改两个参数。

semanage f context-a-t httpd _ sys _ content _ t/web(/。*)/?

使用semanage设置默认文件类型后,使用restorecon命令确保它得到应用。在上面的示例中,对于目录/web的文件类型被更改为允许访问该目录中的服务器文件的Apache,运行以下命令来应用更改:

restorecon -R -v /web

此时,Apache将能够为新的非默认文件根目录中的文件提供服务。

管理SELinux的布尔值

SELinux需要管理的另一个方面是SELinux布尔值。这些是打开或关闭某些功能的二进制值。布尔值可以在各种服务中获得。使用getsepool一个命令来概述整个现有的布尔值。此命令通常会列出一个很长的列表,列出您可以应用的设置。

要找到您想要配置的服务的所有布尔值,请通过grep传输getsepoola的所有输出。例如,使用getsepool-a | grep http查找所有与http行匹配的布尔值。即使你不清楚所有的布尔值,你通常也可以通过观察它们的名字和它们可能做的事情来发现。

使用getse tool-a找出可以使用哪个SELinux来修改服务行为:

[root @ bia Desktop]# getsepool-a | grep http allow _ httpd _ anon _ write-off allow _ httpd _ mod _ auth _ NTLM _ winbind-off allow _ httpd _ mod _ auth _ PAM-off allow _ httpd _ sys _ script _ anon _ write-off httpd _ builtin _ scripting-on httpd _ can _ check _ spam-off httpd _ can _ network _ connect-off httpd _ can _ network _ connect _ cobbler-off httpd _ can _ can _ net work _ connect _ off

在了解了想要使用哪些布尔值之后,使用setsetool-P来应用它们。如果希望允许Apache使用nfs,可以在上面使用setsetool-P http _ use _ NFS。要获得所有可用布尔值的完整列表,请查阅httpd_selinux页面,该页面解释了Apache的惟一文件标签和布尔值。

本文来自网络,不代表本站立场,转载请注明出处:https:

人生的路靠自己一步步走去真正能保护你的(关闭selinux命令)

中国投资网后续将为您提供丰富、全面的关于人生的路靠自己一步步走去真正能保护你的(关闭selinux命令)内容,让您第一时间了解到关于人生的路靠自己一步步走去真正能保护你的(关闭selinux命令)的热门信息。小编将持续从百度新闻、搜狗百科、微博热搜、知乎热门问答以及部分合作站点渠道收集和补充完善信息。