SELINUX for APACHE VSFTP

原創 奮鬥在京 2019-07-19 15:10



   Selinux 基於APACHE 需要修改的內容

1. 關閉iptables

1
2
[root@allentuns ~]# service iptables status
iptables: Firewall is not running.

2. 啓動Selinux

1
2
[root@allentuns ~]# egrep '^SELINUX=' /etc/sysconfig/selinux
SELINUX=enforcing

3. 安裝httpd服務

1
2
# yum -y install httpd
# yum -y install vim

4. 修改httpd配置文件

1
2
3
4
5
[root@allentuns ~]# cd /etc/httpd/conf/
[root@allentuns conf]# cp httpd.conf httpd.conf.bak
[root@allentuns conf]# vim httpd.conf
#修改一行
ServerName localhost:80

5. 啓動httpd服務

1
# service httpd start

6. 測試【1】

wKioL1NKVJDyuMzFAAYFFbY_it4430.jpg

7. 創建新的web目錄

1
2
3
[root@allentuns ~]# mkdir /www
[root@allentuns ~]# cd /www/
[root@allentuns www]# echo '<h1>This is test web</h1>'>index.html

8. 刪除apache的歡迎頁面,重新啓動httpd服務

1
2
3
4
[root@allentuns www]# rm -rf /etc/httpd/conf.d/welcome.conf
[root@allentuns www]# service httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd:                                            [  OK  ]

9. 測試【2】

wKiom1NKVkKzzUD0AAIecFlBt3k193.jpg


10. 使用新創建的web頁面

1
2
3
4
[root@allentuns www]# vim /etc/httpd/conf/httpd.conf
#修改一下兩行
DocumentRoot "/www"
<Directory "/www">

11. 重新加載配置文件

1
[root@allentuns www]# service httpd reload

12. 測試【3】

wKioL1NKV5mwdmfBAAJU7D5Z1tc286.jpg


13. 爲什麼會沒有權限呢?
這個時候我們關閉selinux,在來繼續訪問

1
2
3
[root@allentuns www]# setenforce 0
[root@allentuns www]# getenforce
Permissive

14. 測試【4】

wKiom1NKWLfxvSEhAAHIEh9FGss092.jpg


15. 看來真是selinux的問題,我們開啓selinux ,然後通過修改selinux對文件的屬性來訪問服務

1
2
3
[root@allentuns www]# setenforce 1
[root@allentuns www]# getenforce
Enforcing

16.查看文件對應的selinux屬性值

1
2
[root@allentuns www]# ls -Z
-rw-r--r--. root root unconfined_u:object_r:default_t:s0 index.html

17. 通過chcon修改對應的屬性值

1
2
3
4
5
6
7
8
9
10
11
[root@allentuns www]# chcon --help |less
Usage: chcon [OPTION]... CONTEXT FILE...
or:  chcon [OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE...
or:  chcon [OPTION]... --reference=RFILE FILE...
Change the SELinux security context of each FILE to CONTEXT.
[root@allentuns www]# ls -Z /var/www/
drwxr-xr-x. root root system_u:object_r:httpd_sys_script_exec_t:s0 cgi-bin
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 error
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 html
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 icons
[root@allentuns www]# chcon -t httpd_sys_content_t index.html

18. 測試【5】wKiom1NKWmGw8GrNAAHQEuwedtU510.jpg


大家也看到了吧 在開啓Selinux的情況下 修改修改文本的屬性值,也可以保證服務的安全!!



_______________________________________________________________________________________________

          Selinux 基於APACHE 需要修改的內容


一、如何讓暱名用戶能夠上傳文件到ftp服務器?


1,修改ftp目錄的訪問權限


# cd /var/ftp/


# setfacl -m u:ftp:rwx pub


2,修改配置文件/etc/vsftp/vsftp.conf


anonymous_enable=YES-----------暱名登錄ftp


anon_upload_enable=YES---------暱名上傳


anon_mkdir_write_enable=YES------暱名創建目錄


anon_other_write_enable=YES------暱名進行其他操作


3,登錄ftp上傳文件


# lftp localhost  -----------登錄ftp服務器


lftp localhost:/pub> cd pub ----------------------- 進入pub目錄


lftp localhost:/pub> lcd /etc-------------------------進入文件系統的/etc目錄,注意lcd命令,對於cd命令,這裏使用lcd,其他命令可以使用!命令,如!Ls,顯示的就是進入ftp前的當前目錄。


lftp localhost:/pub> put shadow


868 bytes transferred



然而,開啓了selinux後,這些功能形同樣會失效。


這時,就需要用到getseboolsetsebool


# getsebool -a | grep ftp--------------顯示所有與ftp有關的功能開關


allow_ftpd_anon_write --> off-----------開啓selinux後,默認暱名用戶無寫權限


allow_ftpd_full_access --> off-----------默認無訪問權限


allow_ftpd_use_cifs --> off


allow_ftpd_use_nfs --> off


ftp_home_dir --> off


ftpd_connect_db --> off


ftpd_use_passive_mode --> off


httpd_enable_ftp_server --> off


tftp_anon_write --> off


要想暱名用戶能夠上傳,這時就需要啓用這兩個功能了。


# setsebool -P allow_ftpd_anon_write=1


# setsebool -P allow_ftpd_anon_write=on


以上兩種任選一種。


-P選項,表示永久有效。


# setsebool -P allow_ftpd_full_access=1


這樣,暱名用戶就可以再次上傳了。


_________________________________________________________________________________________________________

Selinux 基於SAMBA 需要修改的內容


[root@server1 pub]# mkdir /erikxue

[root@server1 pub]# chmod 777 /erikxue

[root@server1 pub]# ls -Z /etc/samba/

-rw-r--r--. root root system_u:object_r:samba_etc_t:s0 lmhosts

-rw-r--r--. root root system_u:object_r:samba_etc_t:s0 smb.conf

-rw-r--r--. root root system_u:object_r:samba_etc_t:s0 smbusers

[root@server1 pub]# ll -Z /ccc/

drwxr-xr-x. nobody nobody unconfined_u:object_r:default_t:s0 /erikxue

[root@server1 pub]# chcon -u system_u /erikxue/

[root@server1 pub]#chcon -t samba_etc_t /erikxue/

[root@server1 pub]# ll -Zd /erikxue/

drwxrwxrwx. root root system_u:object_r:samba_etc_t:s0 ccc
同時需要開啓布爾值

[root@server1 /]# getsebool-a | grep samba

samba_create_home_dirs --> off

samba_domain_controller --> off

samba_enable_home_dirs--> off

samba_export_all_ro --> off

samba_export_all_rw--> off

samba_run_unconfined --> off

samba_share_fusefs --> off

samba_share_nfs --> off

use_samba_home_dirs --> off

virt_use_samba --> off

[root@server1 /]# setsebool -P

Usage: setsebool [ -P ] boolean value | bool1=val1 bool2=val2...

[root@server1 /]# setsebool-P samba_enable_home_dirs on

[root@server1 /]# setsebool-P samba_export_all_rw 1



發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Android C/C++ 內存泄漏分析 unreachable

背景 隨着對客戶端穩定性質量的不斷深入,部分的重點、難點問題逐步治理,內存質量逐步成爲了影響客戶端質量的最突出的問題之一。因此淘寶對此進行了系統性的內存治理,成立了內存專項。 “工欲善其事、必先利其器”。本文主要講述內存專項的工具之一,內

原創 2023-05-22 12:23:17

centos7 搭建 vsftpd

參考:https://wiki.archlinux.org/title/Very_Secure_FTP_Daemon 教程:https://help.aliyun.com/document_detail/92048.html 1、配置 vs

原創 2022-12-26 22:51:39

從零部署Linux服務器完全指南2022版(CentOS 8+Nginx+PHP)

之前我的一個CentOS 7 Apache的站點被攻擊,導致流量過載損失了一筆錢,由於也是邊學習邊部署的,有不少安全隱患,爲了避免常見安全隱患再次發生,後來找出大概的原因後決定重新部署一個基於CentOS 8 Nginx的服務器。這也是充

原創 2022-04-30 12:48:31

nginx open failed 13: Permission denied的其他情況

當Nginx以root用戶運行情況下,訪問Nginx資源仍然報權限問題,如以下錯誤信息: nginx open() failed (13: Permission denied), client server request: "GET /

原創 2022-04-30 12:20:17

有關Greenplum源碼編譯過程中遇到的gpcloud錯誤問題

在執行Greenplum源碼編譯過程中,經常會遇到如下錯誤: checking whether to build with OpenSSL support... no checking whether to build with SELin

原創 2022-04-30 11:10:03

java高級用法之:調用本地方法的利器JNA

簡介 JAVA是可以調用本地方法的,官方提供的調用方式叫做JNI,全稱叫做java native interface。要想使用JNI,我們需要在JAVA代碼中定義native方法,然後通過javah命令創建C語言的頭文件,接着使用C或者C

原創 2022-04-30 09:47:36

CentOS7單用戶模式修改密碼【轉載】

版權聲明:本文爲博主原創文章,遵循 CC 4.0 BY-SA 版權協議,轉載請附上原文出處鏈接和本聲明。本文鏈接:https://blog.csdn.net/ywd1992/article/details/83538730 --------

osc_vv34ugrq 2021-12-25 21:40:34

利用shell祕鑰登錄服務器

------------恢復內容開始------------ 一、點擊Xshell菜單欄的工具,選擇新建用戶密鑰生成嚮導,進行密鑰對生成操作。 注意選擇長度爲2048位祕鑰; 二、修改sshd的配置文件,啓用密鑰認證登錄,同時關閉密碼

osc_vv34ugrq 2021-12-25 21:40:34

Linux Apache虛擬主機配置方法

   apache 虛擬主機配置 注意: 虛擬主機可以開很多個 虛擬主機配置之後,原來的默認/etc/httpd/httpd.conf中的默認網站就不會生效了 練習: 主機server0 ip:172.25.0.11 hostn

osc_msepeizi 2021-12-25 21:39:12

CentOS7.x下創建本機yum源庫與(vsftpd)局域網yum源庫

OS:   CentOS 7.x IP: 192.168.15.132   關閉firewalld與selinux: systemctl stop firewalld systemctl disable fire

原創 2021-12-25 21:23:52

Linux Centos 物理機 備份 恢復 backup restore

最近有一個項目,客戶要做升級, 因爲centos 要變成滾動更新,所以逼不得已,只能把現在的centos 8.2升級成redhat 8 客戶主機是DELL PowerEdge R440刀片機,有Raid,4.4T 但買的時候沒有購買其他服務

原創 2021-12-25 21:19:54

Linux如何開放SSH服務監聽多個端口

Linux上默認SSH服務端口爲22,但是通常在一些公司裏面這個端口是禁用的,需要進行對應的修改。如果大家要開放多個端口的監聽,可以通過如下方法進行配置。 首先,修改sshd的配置文件,默認位置爲:/etc/ssh/sshd_config

原創 2021-12-25 21:16:45

Centos的文件搜索命令find

find [搜索範圍] [搜索條件] #搜索文件 find / -name install.log #避免大範圍搜索,會非常耗費系統資源 #find是在系統當中搜索符合條件的文件名。如果需要匹配, 使用通配符匹配,通配符是完全匹配。 [ro

原創 2021-10-08 21:27:19

docker 安裝nextcloud支持服務only office

基本docker安裝 下載yum鏡像庫和阿里雲鏡像庫 cd /etc/yum.repos.d/ wget https://download.docker.com/linux/centos/docker-ce.repo wget http:/

原創 2021-09-04 21:23:23

Linux系統通過keepalived配置nginx高可用(單播和多播配置)

先準備兩臺機器,用於測試,這裏使用 192.168.1.168 和 192.168.1.146 兩臺機器測試。 默認你的nginx已經搭建好了,我這裏使用的是docker方式搭建的,只是一個簡單的模擬  docker run -p 8123

原創 2021-08-05 21:42:11