linux系统自动化安装和selinux

shewei Linux干货

系统自动化安装:
 Anaconda 安装系统分成三个阶段:
  安装前配置阶段
安装过程使用的语言
键盘类型
安装目标存储设备
Basic Storage :本地磁盘
特殊设备:iSCSI
设定主机名
配置网络接口
时区
管理员密码x
设定分区方式及MBR 的安装位置
创建一个普通用户
选定要安装的程序包

创建引导光盘:
#cp /media/cdrom/isolinux/ /tmp/myiso/
#vi /tmp/myiso/isolinux/isolinux.cfg
initrd=initrd.img text ks=cdrom:/myks.cfg
#cp /root/myks.cfg /tmp/myiso/
#cd /tmp
# mkisofs -R -J -T -v –no-emul-boot –boot-load-size 4 –boot-info-table -V “CentOS 6.8 x86_64 boot” -b isolinux/isolinux.bin -c isolinux/boot.cat -o /root/boot.iso myiso/              

  #直接使用此光碟引导自动安装

    装完后建议转换混合模式:安装包syslinux      执行命令:isohybrid   boot.iso

需要准备好应答文件,制作方法基本差不多,可以使用现成的,也可以自己制作创建U 盘启动盘
#dd if=/dev/sr0 of=/dev/sdb

selinux介绍:
Linux 的一个强制访问控制的安全模块。2000年以GNU GPL 发布,
Linux内核2.6版本后集成在内核中

DAC :Discretionary Access Control 自由访问控制
MAC :Mandatory Access Control  强制访问控制
• DAC 环境下进程是无束缚的
• MAC 环境下策略的规则决定控制的严格程度
• MAC 环境下进程可以被限制的
• 策略被用来定义被限制的进程能够使用那些资源(文件和端口)
• 默认情况下,没有被明确允许的行为将被拒绝

SELinux 有四种工作类型:
 strict: centos5, 每个进程都受到selinux 的控制
 targeted:  用来保护常见的网络服务, 仅有限进程受到selinux 
    控制,只监控容易被入侵的进程,centos4 只保护13个服务,centos5 保护88 个服务
 minimum :centos7, 修改的targeted ,只对选择的网络服务
 mls: 提供MLS (多级安全)机制的安全性
 targeted 为默认类型,minimum 和mls 稳定性不足,未加以应用,strict

传统Linux,一切皆文件,由用户,组,权限控制访问在SELinux中,一切皆对象( object)
           由存放在inode的扩展属性域的安全元素所控制其访问
           所有文件和端口资源和进程都具备安全标签: 
            安全上下文(security context)
 安全上下文有五个元素组成:
 user:role:type:sensitivity:category
 user_u:object_r:tmp_t:s0:c0
 实际上下文:存放在文件系统中,ls –Z;ps –Z
 期望( 默认)上下文存放在二进制的SELinux 策略库(映射目录和期望安全上下文)中
   semanage fcontext –l

selinu文件标签,cp 继承目标目录context
                mv 保留原有context(标签)

 Semanage :来自policycoreutils-python包 包
  查看默认的安全上下文
semanage fcontext –l
  添加安全上下文
semanage fcontext -a –t httpd_sys_content_t
‘/testdir(/.)?’
restorecon –Rv /testdir
  删除安全上下文
semanage fcontext -d –t httpd_sys_content_t
‘/testdir(/.)?’

查看端口标签
semanage port –l
  添加端口
semanage port -a -t  port_label -p  tcp|udp PORT
semanage port -a -t http_port_t -p tcp 9527
  删除端口
semanage port -d -t  port_label -p  tcp|udp PORT
semanage port -d -t http_port_t -p tcp 9527
  修改现有端口为新标签
semanage port -m -t  port_label -p  tcp|udp PORT
semanage port -m -t http_port_t -p tcp 9527

selinux布尔值:
布尔型规则:
getsebool
setsebool
  查看bool 命令:
getsebool [-a] [boolean]
semanage boolean –l
semanage boolean -l –C  查看修改过的布尔值
  设置bool 值命令:
setsebool [-P] boolean value (on,off) )
setsebool [-P] Boolean=value (0 ,1)

原创文章,作者:shewei,如若转载,请注明出处:http://www.178linux.com/72628

(0)
sheweishewei
0
上一篇 2017-04-05 22:19
下一篇 2017-04-06 12:55

相关推荐

  • bash shell 循环语句的使用

    条件选择if语句       if语句是选择执行的,条件满足则执行,不满足则退出,if语句也可嵌套,就是if语句里面也可以在进行if语句 单分支 if 判断条件;then statement1 fi   双分支 if 判断条件;then 条件为真得分支 else 条件为假的分支 fi   …

    Linux干货 2016-08-18

  • Linux终端类型

    适用对象:本文适用于初学Linux以及有志于学习Linux的朋友们。   一、         什么是终端 计算机体系中,终端主要是指与计算机连接,并可以与用户(人类)进行交互的设备。 二、      &nbs…

    Linux干货 2016-10-14

  • DNS高级应用之子域授权&区域转发

    一、环境准备:    1、准备三台测试服务器,划分如下:    主DNS服务器:eth0:192.168.10.203;负责mylinux.com域解析;确保可以正常解析      子域DNS服务器:eth0:192.168.10.120; 负责子域ops.mylinux.com解析; &…

    Linux干货 2015-06-01

  • shell脚本总结

    shell进阶:列表生成方式:列表生成方式:(1) 直接给出列表 以空白为间隔(2) 整数列表:(a) {start..end}(b) $(seq [start [step]] end)(3) 返回列表的命令$(COMMAND)(4) 使用glob,如:.sh(5) 变量引用;$@, $while read line(用法)(用于遍历文件,进行处理…

    Linux干货 2017-07-10

  • 特殊权限

    特殊权限 文件特殊权限 一、SUID(4) SUID:当s这个标志出现在文件所有者的x权限上时,就被称作SUID。 SUID的功能和限制:1、仅仅对二进制程序有效; 2、执行者对程序需要X的执行权限; 3、本权限仅仅在执行该程序的过程中有效; 4、执行者将具有该程序所有者的权限。 5、SUID仅仅可以用在二进制程序上,…

    Linux干货 2016-08-05
  • 浅谈Linux账号与用户组管理 Linux干货

    浅谈Linux账号与用户组管理

    在学习linux系统中,最重要的莫过于对系统账户的管理以及如何恰当的分配用户组权限。在我们登陆linux系统的时候,输入的账号,其实并不是linux所能识别的。由于计算机仅能够识别0与1,所以它仅能认识ID(一组号码)用户标示符UID、GID。相应的你所输入的账号与ID的对应关系就保存在/etc/passwd当中。 对于每一个文件来说都具有”所有者与所属用户…

    2017-07-22
电话咨询
在线咨询