linux系统自动化安装和selinux

shewei Linux干货

系统自动化安装:
 Anaconda 安装系统分成三个阶段:
  安装前配置阶段
安装过程使用的语言
键盘类型
安装目标存储设备
Basic Storage :本地磁盘
特殊设备:iSCSI
设定主机名
配置网络接口
时区
管理员密码x
设定分区方式及MBR 的安装位置
创建一个普通用户
选定要安装的程序包

创建引导光盘:
#cp /media/cdrom/isolinux/ /tmp/myiso/
#vi /tmp/myiso/isolinux/isolinux.cfg
initrd=initrd.img text ks=cdrom:/myks.cfg
#cp /root/myks.cfg /tmp/myiso/
#cd /tmp
# mkisofs -R -J -T -v –no-emul-boot –boot-load-size 4 –boot-info-table -V “CentOS 6.8 x86_64 boot” -b isolinux/isolinux.bin -c isolinux/boot.cat -o /root/boot.iso myiso/              

  #直接使用此光碟引导自动安装

    装完后建议转换混合模式:安装包syslinux      执行命令:isohybrid   boot.iso

需要准备好应答文件,制作方法基本差不多,可以使用现成的,也可以自己制作创建U 盘启动盘
#dd if=/dev/sr0 of=/dev/sdb

selinux介绍:
Linux 的一个强制访问控制的安全模块。2000年以GNU GPL 发布,
Linux内核2.6版本后集成在内核中

DAC :Discretionary Access Control 自由访问控制
MAC :Mandatory Access Control  强制访问控制
• DAC 环境下进程是无束缚的
• MAC 环境下策略的规则决定控制的严格程度
• MAC 环境下进程可以被限制的
• 策略被用来定义被限制的进程能够使用那些资源(文件和端口)
• 默认情况下,没有被明确允许的行为将被拒绝

SELinux 有四种工作类型:
 strict: centos5, 每个进程都受到selinux 的控制
 targeted:  用来保护常见的网络服务, 仅有限进程受到selinux 
    控制,只监控容易被入侵的进程,centos4 只保护13个服务,centos5 保护88 个服务
 minimum :centos7, 修改的targeted ,只对选择的网络服务
 mls: 提供MLS (多级安全)机制的安全性
 targeted 为默认类型,minimum 和mls 稳定性不足,未加以应用,strict

传统Linux,一切皆文件,由用户,组,权限控制访问在SELinux中,一切皆对象( object)
           由存放在inode的扩展属性域的安全元素所控制其访问
           所有文件和端口资源和进程都具备安全标签: 
            安全上下文(security context)
 安全上下文有五个元素组成:
 user:role:type:sensitivity:category
 user_u:object_r:tmp_t:s0:c0
 实际上下文:存放在文件系统中,ls –Z;ps –Z
 期望( 默认)上下文存放在二进制的SELinux 策略库(映射目录和期望安全上下文)中
   semanage fcontext –l

selinu文件标签,cp 继承目标目录context
                mv 保留原有context(标签)

 Semanage :来自policycoreutils-python包 包
  查看默认的安全上下文
semanage fcontext –l
  添加安全上下文
semanage fcontext -a –t httpd_sys_content_t
‘/testdir(/.)?’
restorecon –Rv /testdir
  删除安全上下文
semanage fcontext -d –t httpd_sys_content_t
‘/testdir(/.)?’

查看端口标签
semanage port –l
  添加端口
semanage port -a -t  port_label -p  tcp|udp PORT
semanage port -a -t http_port_t -p tcp 9527
  删除端口
semanage port -d -t  port_label -p  tcp|udp PORT
semanage port -d -t http_port_t -p tcp 9527
  修改现有端口为新标签
semanage port -m -t  port_label -p  tcp|udp PORT
semanage port -m -t http_port_t -p tcp 9527

selinux布尔值:
布尔型规则:
getsebool
setsebool
  查看bool 命令:
getsebool [-a] [boolean]
semanage boolean –l
semanage boolean -l –C  查看修改过的布尔值
  设置bool 值命令:
setsebool [-P] boolean value (on,off) )
setsebool [-P] Boolean=value (0 ,1)

原创文章,作者:shewei,如若转载,请注明出处:http://www.178linux.com/72628

(0)
sheweishewei
0
上一篇 2017-04-05 22:19
下一篇 2017-04-06 12:55

相关推荐

  • 文本处理工具及grep

    在日常的linux运维工作当中,我们经常要在一些文本当中抽取过滤出我们所需要的信息,从而达到我们的需求,需要特定的文本处理工具来帮我们完成此类操作 本章节主要讲解的内容有: 文件查看:cat 分页查看文本:less、more 抽取文件特定行数:head、tail 抽取文本特定列:cut 合并文本:paste 文本统计:wc 文本排序并统计:sort、uniq…

    Linux干货 2016-08-08

  • N25-第九周

    1、写一个脚本,判断当前系统上所有用户的shell是否为可登录shell(即用户的shell不是/sbin/nologin);分别这两类用户的个数;通过字符串比较来实现; #!/bin/bash #统计shell及非shell个数 #author:dodo declare -i loginnum=0 declare -i nologinnum=0 while…

    Linux干货 2017-05-27

  • 第一周的学习总结

       本人是Linux 小白,0基础。加入马帮开始Linux之旅。由于完全不懂Linux,所以在学习的过程中,每课都要看上2遍。接下来说说我第一周所学的内容。 首先是了解到了计算机基础知识,计算机的组成部分、CPU架构类型、其他外围设备。 操作系统基础知识进程管理、内存管理、网络管理、驱动管理、安全管理等。 Linux的起源、发行版以及构…

    Linux干货 2016-02-28

  • 推荐-​以各种方式实现yum源,简单暴力,绝对实操干货!

    以各种方式实现yum源,简单暴力,绝对实操干货! 科普:yum不是程序包安装工具,而是rpm包前端管理工具,通过yum可以更好的管理rpm的安装卸载 以各种方式实现yum源,简单暴力,绝对实操干货! 一、本地yum源之“挂载光盘镜像实现”! 二、本地yum源之“挂载本地磁盘上的镜像文件”! 三、如能上网,实现自定义指定镜像网站yum源 四、炸天重磅来袭!!!…

    Linux干货 2016-04-11

  • N25 第二周作业

    一.Linux上常用的文件管理类命令及用法示例     1.cp复制命令,具体有两个,一为单源复制,一种为多源复制。      常用选项         -i :交互式复制,覆盖之前提醒用户确认。       …

    Linux干货 2016-12-12

  • 20 shell脚本编程1

    20 shell脚本编程1 一、杂项知识整理 1、脚本文件格式:     #!/bin/bash     (注释信息:)     #description:say hello     #vesion:…

    Linux干货 2016-08-11
电话咨询
在线咨询