我是CentOS的新手,尝试启用SELinux,重启后不工作,详见https://www.digitalocean.com/community/tutorials/an-introduction-to-selinux-on-centos-7-part -1-基本概念 。 我每次重新启动后唯一的错误消息是: master:~# cat /var/log/messages | grep "SELinux" Jul 14 22:11:48 master kernel: SELinux: Disabled at boot. 据谷歌可以告诉我这意味着我的configuration文件已SELINUX = 0 / SELINUX =禁用。 但我的configuration文件应该是正确的: master:~# cat /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing – SELinux security policy […]
我经常需要在世界各地的远程站点部署为客户端设置的linux rpm风格的服务器。 在selinux之前,我将有一个远程pipe理员在相同的内核级别上创build一个基本的服务器,并使用与我的模板类似的分区。 然后,我会scp到一个完整的templater服务器tarfile到远程。 然后,我只是从全系统的“tar文件”恢复中排除像fstab,network,/ hoot,grub dirs,passwd / shadow这样的东西,我可以让远程启动并继续运行。 我相信我还需要确保我具有相同types的selinux模式(target),并且将目标上的/ etc / selinux排除在覆盖之外。 问题是,遥控器将启动并呈现motd并要求login密码,它不会让任何帐户。我没有控制台访问遥控器,我无法从救援CD启动它们。 我的问题是什么selinux的事情,我必须做的能够从tarfile恢复到远程服务器几乎完整的源模板服务器?
我有一个任务来configuration一个RedHat Enterprise Linux 5 Gnome PC,这样一个特定的用户 – 比如说USER1的桌面访问将非常有限。 要求包括: 必须限制访问所有桌面菜单(应用程序,地点,系统)和图标(计算机,用户主页等)。 限制对大部分文件夹的shell访问权限,但限制用户自己的主文件夹。 这个用户(USER1)在他们的桌面上只应该有几个预configuration的图标/快捷方式,这就是他/她应该能够运行/双击的所有东西。 这个用户(USER1)不应该能够运行任何会影响任何文件/文件夹而不是自己的shell命令。 基本上它是所有locking的PC,对于这个特定的用户来说function非常有限。 如果另一个授权用户或者根用户login – 那么所有正常的铃声和哨声应该是正常的。 我们已经使用本地安全设置在Windows上实现了这一点,但我不知道如何在Linux中这样做。 我听说过SELinux ,并尝试使用“SELinuxpipe理工具”,但它不是很有用,或者我不知道如何正确使用它。
我们有一个多主机环境,在一台主机上使用httpd,在另一台主机上使用一台应用程序服务器。 我们想在httpd主机上使用SELinux,默认的目标策略导致很less的问题。 但它确实阻止了httpd将出站networking连接到应用服务器主机。 有一个SELinux布尔httpd_can_network_connect ,如果设置将允许无限的出站连接,但我想find一个更狭窄的解决scheme。 我想我可以通过定义一个新的端口types列表来控制目标端口: semanage port -a -t ajp_port_t -p tcp 9010 然后用以下方法创build一个本地策略: 允许httpd_t ajp_port_t:tcp_socket {name_connect}; 我怎样才能控制目的地址?
我有一些系统,出于各种原因,我们要完全禁用selinux。 到目前为止,这已经像冠军一样工作了,总是在kickstarts中使用selinux = 0,并确保/ etc / sysconfig / selinux包含: SELINUX=disabled 但是到今天为止,我已经有一个正确设置的Fedora 17工作站,但在重启之后,它总是以强制模式启动: # cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing – SELinux security policy is enforced. # permissive – SELinux prints warnings instead of enforcing. # disabled – […]
我正在使用Fedora发行版 – 预安装了SELinux策略。 我想限制在~/.ssh文件夹中对我的私钥的不安全访问 – 以防止可能运行在我的帐户下的恶意软件泄漏。 根套装是没有问题的。 更新#1:我想解决与新手Fedora用户的企业问题 – 没有USB令牌等,他们可能会使用一个非常弱的密码。 如果只有root用户和ssh客户端程序才可以访问私钥,那就没问题了。 没有必要让真正的用户看到私钥 – 我不知道为什么要看私钥的原因,甚至一次。 我怎样才能做到这一点? build议使用SELinux。
在尝试使用复制到Puppet模块目录的模块时,当连接到Puppet主服务器时,我的puppet客户端返回'无法从远程服务器检索目录:SERVER上的错误400:无法在string中转换nil'错误。 [root@puppetmaster modules]# rpm -qa *puppet* puppet-2.7.18-1.el6.noarch puppet-server-2.7.18-1.el6.noarch [root@puppetmaster modules]# uname -sr Linux 2.6.32-279.el6.x86_64 代码全部签出并且有效。 SELinux已打开。
我有一个在企业环境中安装的解决scheme。 该解决scheme及其部署指南旨在安装在启用了SELinux的RHEL7 / CentOS7服务器上,并根据文件系统层次结构标准将组件安装到位置。 然而,其中一个客户已经感到惊讶,我们说所有的第三方解决scheme必须安装到/apps目录,因为他们根据政策支持。 为了避免这个特定的客户端出现偏差,因为这需要对解决scheme进行重大的修改,所以我们决定最好的方法是在/opt的/apps目录下创build一个新的目录,并在真正的/opt前面创build符号链接,相同的SELinux内容( usr_t )例如: ls -laZ /appl/opt drwxr-xr-x. root root unconfined_u:object_r:usr_t:s0 . drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 .. drwxr-xr-x. product product unconfined_u:object_r:usr_t:s0 product la -laZ /opt drwxr-xr-x. root root system_u:object_r:usr_t:s0 . dr-xr-xr-x. root root system_u:object_r:root_t:s0 .. lrwxrwxrwx. root root unconfined_u:object_r:usr_t:s0 product -> /apps/opt/product/ 产品的某些组件通过Apache HTTPD访问,并要求将httpd_sys_content_t上下文应用于它们。 这些文件位于/opt/product/wwwstatic/ (实际上是/apps/opt/product/wwwstatic/ )。 部署指南指定以下命令来运行: semanage fcontext -a […]
我有一些目录和文件,看起来像这个 drwxr-xr-x. 2 ss ss 4096 Oct 3 2004 backup 注意到. 在权限中。 用户ss不能删除这个目录。 题 如何设置这种写保护,如何解除?
[root@tst-01 home]# ls -Z drwxr-xr-x. ujjain users system_u:object_r:home_root_t:s0 ujjain drwxr-xr-x. johndoe users system_u:object_r:home_root_t:s0 johndoe selinux上下文应该是object_r:user_home_dir_t。 [root@tst-01 ~]# sesearch -T -t home_root_t Found 10 semantic te rules: type_transition oddjob_mkhomedir_t home_root_t : dir user_home_dir_t; type_transition automount_t home_root_t : dir automount_tmp_t; type_transition lsassd_t home_root_t : dir user_home_dir_t; type_transition useradd_t home_root_t : dir user_home_dir_t; type_transition firstboot_t home_root_t : dir […]