This shows you the differences between two versions of the page.
Both sides previous revision Previous revision Next revision | Previous revision Next revision Both sides next revision | ||
модуль_selinux [2020/07/16 08:15] val |
модуль_selinux [2020/07/16 14:51] val [Добавление сетевых портов к типу (домену) контекста безопасности] |
||
---|---|---|---|
Line 18: | Line 18: | ||
<code> | <code> | ||
# sestatus | # sestatus | ||
+ | |||
+ | # id -Z | ||
</code> | </code> | ||
+ | |||
+ | ===== Установка типов (доменов) контекста безопасности для файловой системы ===== | ||
* [[Сервис HTTP#Установка и запуск сервера Apache]] | * [[Сервис HTTP#Установка и запуск сервера Apache]] | ||
Line 33: | Line 37: | ||
или более правильно | или более правильно | ||
- | |||
- | # yum install policycoreutils-python-utils | ||
- | # semanage fcontext -l | grep '/var/www' | ||
# yum install setroubleshoot | # yum install setroubleshoot | ||
# sealert -a /var/log/audit/audit.log | # sealert -a /var/log/audit/audit.log | ||
+ | |||
+ | # yum install policycoreutils-python-utils | ||
+ | # semanage fcontext -l | grep '/var/www' | ||
# restorecon -v /var/www/html/index.html | # restorecon -v /var/www/html/index.html | ||
</code> | </code> | ||
- | * [[Сервис Firewall#CentOS]] firewalld | + | ===== Добавление сетевых портов к типу (домену) контекста безопасности ===== |
+ | |||
+ | * [[Сервис Firewall#CentOS]] firewalld (для демонстрации темы можно отключить) | ||
+ | * [[https://blog.tinned-software.net/change-ssh-port-in-centos-with-selinux/|Change SSH port in CentOS with SELinux]] | ||
<code> | <code> | ||
# ps axZ | grep ssh | # ps axZ | grep ssh | ||
- | # yum install setools-console | + | |
- | # sesearch --allow | grep sshd_t | grep port | + | # ss -tupanZ | grep ssh |
+ | |||
+ | # runcon -t sshd_t -r system_r -u system_u /usr/sbin/sshd -p 2222 -d | ||
+ | |||
+ | # semanage port -l | grep ssh | ||
# semanage port -a -t ssh_port_t -p tcp 2222 | # semanage port -a -t ssh_port_t -p tcp 2222 | ||
- | # yum install policycoreutils-devel | + | |
- | # sepolicy network -a /usr/sbin/sshd | + | |
# semanage port -d -t ssh_port_t -p tcp 22 | # semanage port -d -t ssh_port_t -p tcp 22 | ||
</code> | </code> | ||
- | * [[Сервис XINETD]] | + | ===== Управление разрешениями с использованием boolean ===== |
- | * [[Средства программирования shell#Web сервер на shell]] | + | |
<code> | <code> | ||
- | # runcon -t inetd_child_t -r system_r -u system_u cat /etc/passwd | ||
- | # runcon -t httpd_t -r system_r -u system_u cat /etc/passwd | ||
- | </code><code> | ||
# semanage boolean -l | # semanage boolean -l | ||
... | ... |