linux selinux策略管理与标签
Linux 标签 SELinux
2023-09-11 14:15:45 时间
1. selinux 策略
#打开80/tcp
、443/tcp
端口
firewall-cmd --permanent --add-service=http --add-service=https
firewall-cmd --reload
文件系统权限:任何DocumentRoot
必须由apache用户或用户组读取,大部分情况下,不允许apache用户或组写入。
selinux:默认selinux策略会限制httpd读取上下文,web服务器默认上下文是httpd_sys_content_t
semanage fcontext -a -t httpd_sys_content_t '/new/location(/.*)?'
selinux-policy-devel
的httpd_selinux man page
详解
允许documentRoot写
setfacl -R -m g:webmasters:rwX /var/www/html
setfacl -R -m d:g:webmasters:rwx /var/www/html
大写的“X”位仅对目录设置执行
创建webmasters组
mkdir -p -m 2775 /new/docroot
chgrp webmasters /new/docroot
我将serverx系统配置为将一个传入到端口,443/tcp的请求从desktopX转发到端口22/tcp,我的desktopx的ip地址为172.25.x.10
serverx添加永久性规则
firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.25.x.10/32 forward-port port=443 protocol=tcp to-port=22'
firewall-cmd --reload
2. selinux标签协议
selinux:文件、进程、网络流量标记(端口)
安装
yum -y install selinux-policy-devel
mandb
man -k _selinux
监听网络端口标签
查看本地
semanage port -l
管理端口标签
向现有端口标签添加端口语法:
semanage port -a -t port_label -p tcp|udp PORTNUMBER
例如:允许gopher服务侦听端口71/tcp
semanage port -a -t gopher_port -p tcp 71
删除
semanage port -d -t gopher_port -p tcp 71
修改
semanage port -m -t gopher_port -p tcp 71
✈推荐阅读:
相关文章
- linux 安装redis,mysql,netcore
- Linux Android 多点触摸协议 原文出自【比特网】,转载请保留原文链接:http://soft.chinabyte.com/os/71/12306571.shtml
- 关于 Linux 进程的睡眠和唤醒 ,来看这篇就够了~
- Linux vi/vim
- STM32MP157 Linux系统移植开发篇1:linux系统移植前说明及源码编译
- STM32MP157 Linux系统移植开发篇2:烧写linux镜像
- Linux有问必答:如何在 Ubuntu 15.04 的 GNOME 终端中开启多个标签
- linux下获取本机的获取内网和外网地址
- LINUX目录结构
- Linux安装Scala
- Linux中使用expect脚本实现远程机器自动登录_linux shell
- Linux学习笔记总结
- Linux学习笔记(20)linux exec
- Linux学习笔记(10)linux网络管理与配置之一——主机名与IP地址,DNS解析与本地hosts解析(1-4)
- Linux下四款Web服务器压力测试工具(http_load、webbench、ab、siege)介绍
- 每天一个linux命令(31):grep 命令
- 【Linux】linux下用python获取底层硬件信息接口
- linux学习之防火墙,查看Linux防火墙状态,开启/关闭Linux防火墙,Linux防火墙开放5236端口