系统自动化安装:
Anaconda 安装系统分成三个阶段:
安装前配置阶段
安装过程使用的语言
键盘类型
安装目标存储设备
Basic Storage :本地磁盘
特殊设备:iSCSI
设定主机名
配置网络接口
时区
管理员密码x
设定分区方式及MBR 的安装位置
创建一个普通用户
选定要安装的程序包
创建引导光盘:
#cp /media/cdrom/isolinux/ /tmp/myiso/
#vi /tmp/myiso/isolinux/isolinux.cfg
initrd=initrd.img text ks=cdrom:/myks.cfg
#cp /root/myks.cfg /tmp/myiso/
#cd /tmp
# mkisofs -R -J -T -v –no-emul-boot –boot-load-size 4 –boot-info-table -V “CentOS 6.8 x86_64 boot” -b isolinux/isolinux.bin -c isolinux/boot.cat -o /root/boot.iso myiso/
#直接使用此光碟引导自动安装
装完后建议转换混合模式:安装包syslinux 执行命令:isohybrid boot.iso
需要准备好应答文件,制作方法基本差不多,可以使用现成的,也可以自己制作创建U 盘启动盘
#dd if=/dev/sr0 of=/dev/sdb
selinux介绍:
Linux 的一个强制访问控制的安全模块。2000年以GNU GPL 发布,
Linux内核2.6版本后集成在内核中
DAC :Discretionary Access Control 自由访问控制
MAC :Mandatory Access Control 强制访问控制
• DAC 环境下进程是无束缚的
• MAC 环境下策略的规则决定控制的严格程度
• MAC 环境下进程可以被限制的
• 策略被用来定义被限制的进程能够使用那些资源(文件和端口)
• 默认情况下,没有被明确允许的行为将被拒绝
SELinux 有四种工作类型:
strict: centos5, 每个进程都受到selinux 的控制
targeted: 用来保护常见的网络服务, 仅有限进程受到selinux
控制,只监控容易被入侵的进程,centos4 只保护13个服务,centos5 保护88 个服务
minimum :centos7, 修改的targeted ,只对选择的网络服务
mls: 提供MLS (多级安全)机制的安全性
targeted 为默认类型,minimum 和mls 稳定性不足,未加以应用,strict
传统Linux,一切皆文件,由用户,组,权限控制访问在SELinux中,一切皆对象( object)
由存放在inode的扩展属性域的安全元素所控制其访问
所有文件和端口资源和进程都具备安全标签:
安全上下文(security context)
安全上下文有五个元素组成:
user:role:type:sensitivity:category
user_u:object_r:tmp_t:s0:c0
实际上下文:存放在文件系统中,ls –Z;ps –Z
期望( 默认)上下文存放在二进制的SELinux 策略库(映射目录和期望安全上下文)中
semanage fcontext –l
selinu文件标签,cp 继承目标目录context
mv 保留原有context(标签)
Semanage :来自policycoreutils-python包 包
查看默认的安全上下文
semanage fcontext –l
添加安全上下文
semanage fcontext -a –t httpd_sys_content_t
‘/testdir(/.)?’
restorecon –Rv /testdir
删除安全上下文
semanage fcontext -d –t httpd_sys_content_t
‘/testdir(/.)?’
查看端口标签
semanage port –l
添加端口
semanage port -a -t port_label -p tcp|udp PORT
semanage port -a -t http_port_t -p tcp 9527
删除端口
semanage port -d -t port_label -p tcp|udp PORT
semanage port -d -t http_port_t -p tcp 9527
修改现有端口为新标签
semanage port -m -t port_label -p tcp|udp PORT
semanage port -m -t http_port_t -p tcp 9527
selinux布尔值:
布尔型规则:
getsebool
setsebool
查看bool 命令:
getsebool [-a] [boolean]
semanage boolean –l
semanage boolean -l –C 查看修改过的布尔值
设置bool 值命令:
setsebool [-P] boolean value (on,off) )
setsebool [-P] Boolean=value (0 ,1)
原创文章,作者:shewei,如若转载,请注明出处:http://www.178linux.com/72628
