centos 选择规则？centos7安装软件选择

大家好，感谢邀请，今天来为大家分享一下centos 选择规则的问题，以及和centos7安装软件选择的一些困惑，大家要是还不太明白的话，也没有关系，因为接下来将为大家分享，希望可以帮助到大家，解决大家的问题，下面就开始吧！

CentOS上的安全防护软件Selinux详解

selinux简介

SELinux(Security-Enhanced Linux)是美国国家安全局（NSA）对于强制访问控制的实现，是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上，也可以作为其他发行版上容易安装的包得到，2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中

DAC：Discretionary Access Control自由访问控制

MAC：Mandatory Access Control强制访问控制

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源（文件和端口）

默认情况下，没有被明确允许的行为将被拒绝

selinux的工作类型

selinux一共有四种工作类型

strict：每个进程都受到selinux的控制

targeted：用来保护常见的网络服务，仅有限进程受到selinux控制，系统当中默认设置类型

minimum：这个模式在centos7上，是targeted的修改版，只对选择的网络服务，仅对选中的进程生效

mls：提供mls机制的安全性，国防级别的

selinux安全上下文

传统的linux，一切皆文件，由用户、组、权限来进行访问控制，这当中有很多的缺陷

在selinux中，一切皆对象（进程），有存放在inode的扩展属性域的安全元素所控制其访问

所有文件和端口资源和进程都具备安全标签，这就是安全上下文

安全上下文有五个元素组成

system_u:object_r:admin_home_t:s0

user：role：type：sensitivity：category

user：指示登录系统的用户类型，如root，user_u,system_u,多数本地进程都属于自由进程

role：定义文件，进程和用户的用途，文件：object_r,进程和用户：system_r

type：指定数据类型，规则重定义何种进程类型访问何种文件，target策略基于type实现，多服务功用，public_content_t

sensitivity：限制访问的需要，由组织定义的分层安全级别，如unclassified，secret，top,一个对象有且只有一个sensitivity，分0-15个级别，s0最低，target策略默认使用是s0

category：对于特定组织划分不分层的分类，如FBI secret，NSA secret，一个对象可以有多个category，c0-c1023共1024个分类，target策略不适用category

查看安全上下文

ls Z; ps-Z

期望（默认）上下文：存放在二进制的selinux策略库中

semanage fcontext l查看系统中的默认安全上下文

@font-face{

font-family:宋体;

}@font-face{

font-family: Cambria Math;

}@font-face{

font-family: Calibri;

}@font-face{

font-family:@宋体;

}p.MsoNormal, li.MsoNormal, div.MsoNormal{ margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: Calibri,sans-serif;}.MsoChpDefault{ font-family: Calibri,sans-serif;}div.WordSection1{}

selinux策略

对象（object）：所有可以读取的对象，包括文件、目录和进程，端口等

主体：进程称为主题（subject）

selinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋予各自的一个domain标签。domain标签能够执行的操作由安全策略里定义

当一个subject视图访问一个object，kernel中的粗略执行服务器将检查AVC，在AVC中，subject和object的权限被缓存，查找应用+文件的安全环境，然后根据查询结果允许或拒绝访问

安全策略：定义主体读取对象的规则数据库，规则中记录了那个类型的主体使用了那个方法读取哪一个对象是允许还是拒绝的，并且定义了那种行为是允许或拒绝

设置selinux

配置selinux

selinux是否启用

给文件重新打安全标签

给端口设置安全标签

设定某些操作的布尔型开关

selinux的日志管理

selinux的状态

enforcing：强制，每个受限的进程都必然受限

permissive：允许；每个受限的进程违规操作不会被禁止，但会被记录与审计日志

disabled：禁用，允许任何操作

getenforce：获取selinux当前状态

sestatus：查看selinux状态

setenforce 0|1

0：设置为permissive

1：设置为enforcing

配置文件

/etc/sysconfig/selinux链接文件链接到/etc/selinux/config

/etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing SELinux security policy is enforced.

# permissive SELinux prints warnings instead of enforcing.

# disabled SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

# targeted Only targeted network daemons are protected.

# strict Full SELinux protection.

SELINUXTYPE=targeted

SELINUX=enforcing设置selinux的状态

SELINUXTYPE=targeted设置selinux的工作类型

设置selinux也可以在开机的时候设定，在/boot/grub/grub.conf文件内核那一行后面设定selinux的状态selinux=0|1,只要配置文件或内核设定为禁用，最后selinux的状态为禁用

注意：在从disabled状态切换至enforcing或permissive状态需要重启系统，这时候系统会对每一个文件一一重打标签，需要花费一定的时间。

修改selinux的安全标签

给文件重新打安全标签

chcon [OPTION] [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE..

chcon [OPTION] reference=RFILE FILE..

-R：递归打标，对目录而言

例如我想给自己定义的web文档根目录自定义为/htdocs

chcon-R httpd_sys_content_t/htdocs

恢复目录或文件默认的安全上下文

resotrecon [-R]/path/to/somewhere

例如：我又将web的文档根目录改为原来的目录，这时候自定义的目录的标签需要还原

restorecon-R/htdocs

恢复是根据策略库当中的策略进行还原

默认安全上下文查询与修改

semanage来自policycoreutils-python包，有些系统默认没有安装，安装次包即可使用semanage命令

查看默认的安全上下文

semanage fcontext l

添加安全上下文

semanage fcontext-a t httpd_sys_content_t/home/hadoop(/.*)?

restorecon Rv/home/hadoop此步骤一定不能忘记，它从策略库进行还原安全上下文，执行此命令才会生效

删除安全上下文

semanage fcontext d t httpd_sys_content_t/home/hadoop(/.*)?

selinux端口标签

查看端口标签

semanage port-l

添加端口

semanage port-a-t port_label p tcp|udp port

semanage port a-t htt_port_t-p tcp 8080

删除端口

semanage port-d-t port_label-p tcp|udp port

semanage port-d-t htt_port_t-p tcp 8080

修改现有（已存在）端口为新标签

semanage port-m t port_label p tcp|udp port

semanage port m t ssh_port_t p tcp 8080将ssh服务的端口改为8080

selinux布尔值

查看布尔值命令

getsebool [-a] [boolean]

semanage boolean l-C查看修改过的布尔值

设置bool值命令

setsebool [-P] boolean value（on|off|1|0）

setsebool httpd_enable_homedirs on|1开启httpd家目录访问，但不会写入策略库中

setsebool-P httpd_enable_homedirs on|1

修改bool值时后面的值可以对布尔值类型后跟=加值的设置方法

setsebool httpd_enable_homedirs=on

selinux的日志管理

需要安装settroublesshoot*安装此包需要重启系统才能生效，它会将错误日志记录到/var/log/message

grep setroubleshoot/var/log/message

sealer-l UUID

查看安全事件日志说明

sealert-a/var/log/audit/audit.log

扫描并分析日志

yum-y install selinux-policy-devel（centos7）

yum y install selinux-policy-doc（centos6）

mandb| makewhatis需要更新man帮助的数据才能查询

man-k _selinux

例如man httpd_selinux

总结：selinux在安全防护上确实起到了一定的作用，它是在内核层面来工作，往往有许多的漏洞，一旦黑客利用漏洞入侵系统后果不堪设想，还有其操作的繁琐和稳定性的欠缺的导致很多企业不愿意用到selinux，一般都会使用硬件的安全防护设备，所以我们只需要作为了解，知道有这么个东西，如何开关闭及一些简单的操作即可。

centos root权限执行命令和sudo有没有区别

一.使用 su命令临时切换用户身份

1、su的适用条件和威力

su命令就是切换用户的工具，怎么理解呢？比如我们以普通用户beinan登录的，但要添加用户任务，执行useradd，beinan用户没有这个权限，而这个权限恰恰由root所拥有。解决办法无法有两个，一是退出beinan用户，重新以root用户登录，但这种办法并不是最好的；二是我们没有必要退出beinan用户，可以用su来切换到root下进行添加用户的工作，等任务完成后再退出root。我们可以看到当然通过su切换是一种比较好的办法；

通过su可以在用户之间切换，如果超级权限用户root向普通或虚拟用户切换不需要密码，什么是权力？这就是！而普通用户切换到其它任何用户都需要密码验证；

2、su的用法：

su [OPTION选项参数] [用户]

-,-l,——login登录并改变到所切换的用户环境；

-c,——commmand=COMMAND执行一个命令，然后退出所切换到的用户环境；

至于更详细的，请参看man su；

3、su的范例：

1) su在不加任何参数

默认为切换到root用户，但没有转到root用户家目录下，也就是说这时虽然是切换为root用户了，但并没有改变root登录环境；用户默认的登录环境，可以在/etc/passwd中查得到，包括家目录，SHELL定义等；

[beinan@localhost~]?$ su root

Password:

[root@localhost beinan]# pwd

/home/beinan

2) su加参数-

表示默认切换到root用户，并且改变到root用户的环境；

[beinan@localhost~]$ pwd

/home/beinan

[beinan@localhost~]$ su-

Password:

[root@localhost~]# pwd

/root

3) su参数-用户名

[beinan@localhost~]$ su– root注：这个和su-是一样的功能；

Password:

[root@localhost~]# pwd

/root

[beinan@localhost~]$ su– linuxsir注：这是切换到 linuxsir用户

Password:注：在这里输入密码；

[linuxsir@localhost~]$ pwd注：查看用户当前所处的位置；

/home/linuxsir

[linuxsir@localhost~]$ id注：查看用户的UID和GID信息，主要是看是否切换过来了；

uid=505(linuxsir) gid=502(linuxsir) groups=0(root),500(beinan),502(linuxsir)

[linuxsir@localhost~]$ exit注：退出

logout

[beinan@localhost~]$

[beinan@localhost Desktop]$ su--c ls注：这是su的参数组合，表示切换到root用户，并且改变到root环境，然后列出root家目录的文件，然后退出root用户；

Password:注：在这里输入root的密码；

anaconda-ks.cfg install.log.syslog mydate1 mytask.sh Videos注：列出root家目录的文件；

Desktop jdk mydate2 Pictures workspace

Documents jdk-6u13-linux-i586.bin mydate3 Public Workspaces

Downloads Linux mydate4 software

install.log Music MyEclipse 2015 Templates

[beinan@localhost Desktop]$注：自动退出root用户；

[beinan@localhost Desktop]$ pwd

/home/beinan/Desktop

[beinan@localhost Desktop]$ id注：查看是否切换成功；

uid=506(beinan) gid=506(beinan) groups=506(beinan) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

[beinan@localhost Desktop]$

4、su的优缺点；

su的确为管理带来方便，通过切换到root下，能完成所有系统管理工具，只要把root的密码交给任何一个普通用户，他都能切换到root来完成所有的系统管理工作；但通过su切换到root后，也有不安全因素；比如系统有10个用户，而且都参与管理。如果这10个用户都涉及到超级权限的运用，做为管理员如果想让其它用户通过su来切换到超级权限的root，必须把root权限密码都告诉这10个用户；如果这10个用户都有root权限，通过root权限可以做任何事，这在一定程度上就对系统的安全造成了威协；想想Windows吧，简直就是恶梦；“没有不安全的系统，只有不安全的人”，我们绝对不能保证这 10个用户都能按正常操作流程来管理系统，其中任何一人对系统操作的重大失误，都可能导致系统崩溃或数据损失；所以su工具在多人参与的系统管理中，并不是最好的选择，su只适用于一两个人参与管理的系统，毕竟su并不能让普通用户受限的使用；超级用户root密码应该掌握在少数用户手中，这绝对是真理！所以集权而治的存在还是有一定道理的；

二. sudo授权许可使用的su，也是受限制的su

1. sudo的适用条件

由于su对切换到超级权限用户root后，权限的无限制性，所以su并不能担任多个管理员所管理的系统。如果用su来切换到超级用户来管理系统，也不能明确哪些工作是由哪个管理员进行的操作。特别是对于服务器的管理有多人参与管理时，最好是针对每个管理员的技术特长和管理范围，并且有针对性的下放给权限，并且约定其使用哪些工具来完成与其相关的工作，这时我们就有必要用到 sudo。

通过sudo，我们能把某些超级权限有针对性的下放，并且不需要普通用户知道root密码，所以sudo相对于权限无限制性的su来说，还是比较安全的，所以sudo也能被称为受限制的su；另外sudo是需要授权许可的，所以也被称为授权许可的su；

2. sudo执行命令的流程

1）给用户授权

当前用户切换到root（或其它指定切换到的用户），然后以root（或其它指定的切换到的用户）身份执行命令，执行完成后，直接退回到当前用户；而这些的前提是要通过sudo的配置文件/etc/sudoers来进行授权；

比如我们想用beinan普通用户通过more/etc/shadow文件的内容时，可能会出现下面的情况；

[beinan@localhost~]$ more/etc/shadow/etc/shadow

/etc/shadow: Permission denied注：权限不够

[beinan@localhost~]$

这时我们可以用sudo more/etc/shadow来读取文件的内容；就就需要在/etc/soduers中给beinan授权；于是我们就可以先su到root用户下通过visudo来改/etc/sudoers；（比如我们是以beinan用户登录系统的）

[beinan@localhost~]$ su

Password:注：在这里输入root密码

[root@localhost beinan]# visudo注：运行visudo来改/etc/sudoers

加入如下一行 beinan ALL=/bin/more，退出保存；

注：visudo也是用的vi编辑器；beinan ALL=/bin/more表示beinan可以切换到root下执行more来查看文件；退回到beinan用户下，用exit命令；

[root@localhost beinan]# exit

exit

[beinan@localhost~]$

2）beinan用户执行root下的权限，查看beinan的通过sudo能执行哪些命令

[beinan@localhost~]?$ sudo-l

Password:注：在这里输入beinan用户的密码

User beinan may run the following commands on this host:

(root)/bin/more注：在这里清晰的说明在本台主机上，beinan用户可以以root权限运行more；在root权限下的more，可以查看任何文本文件的内容的；

最后，我们看看是不是beinan用户有能力看到/etc/shadow文件的内容；

[beinan@localhost~]$ sudo more/etc/shadow

root:$1$mKOQVMQ8$kg3pR0NI4XBgX8KTk4OJI/:16541:0:99999:7:::

bin:*:15980:0:99999:7:::

daemon:*:15980:0:99999:7:::

adm:*:15980:0:99999:7:::

lp:*:15980:0:99999:7:::

sync:*:15980:0:99999:7:::

shutdown:*:15980:0:99999:7:::

halt:*:15980:0:99999:7:::

mail:*:15980:0:99999:7:::

beinan不但能看到/etc/shadow文件的内容，还能看到只有root权限下才能看到的其它文件的内容，比如；

[beinan@localhost~]$ sudo more/etc/gshadow

[sudo] password for beinan:

root:::

bin:::bin,daemon

daemon:::bin,daemon

sys:::bin,adm

adm:::adm,daemon

tty:::

disk:::

lp:::daemon

mem:::

kmem:::

wheel:::

mail:::mail,postfix

uucp:::

对于beinan用户查看和读取所有系统文件中，我只想把/etc/shadow的内容可以让他查看；可以加入下面的一行；

beinan ALL=/bin/more/etc/shadow

题外话：有的弟兄会说，我通过su切换到root用户就能看到所有想看的内容了，哈哈，对啊。但咱们现在不是在讲述sudo的用法吗？如果主机上有多个用户并且不知道root用户的密码，但又想查看某些他们看不到的文件，这时就需要管理员授权了；这就是sudo的好处；

3）用户组在/etc/sudoers中写法

如果用户组出现在/etc/sudoers中，前面要加%号，比如%beinan，中间不能有空格；%beinan ALL=/usr/sbin/*,/sbin/*

如果我们在/etc/sudoers中加上如上一行，表示beinan用户组下的所有成员，在所有可能的出现的主机名下，都能切换到root用户下运行/usr/sbin和/sbin目录下的所有命令；

4）取消某类程序的执行

取消程序某类程序的执行，要在命令动作前面加上!号；在本例中也出现了通配符的*的用法；

beinan ALL=/usr/sbin/*,/sbin/*,!/usr/sbin/fdisk注：把这行规则加入到/etc/sudoers中；但您得有beinan这个用户组，并且beinan也是这个组中的才行；

本规则表示beinan用户在所有可能存在的主机名的主机上运行/usr/sbin和/sbin下所有的程序，但fdisk程序除外；

[beinan@localhost~]$ sudo-l

Password:注：在这里输入beinan用户的密码；

User beinan may run the following commands on this host:

(root)/usr/sbin/*(root)/sbin/*(root)!/sbin/fdisk

[beinan@localhost~]$ sudo/sbin/fdisk–l

Sorry, user beinan is not allowed to execute'/sbin/fdisk-l' as root on localhost.

注：不能切换到root用户下运行fdisk程序；

如果有sudo的权限而没有su的权限: sudo su;

在CentOS的防火墙上开启通行端口的方法

如果希望在服务器上提供服务，诸如CentOS或RHEL的企业级Linux发行版包含内置的强大防火墙，它们默认的防火墙规则十分严格。因此，如果你安装了任何定制的服务(比如web服务器、NFS和Samba)，那么它们的流量很有可能被防火墙规则阻塞。所以需要在防火墙上开启必要的端口以允许流量通过。

在CentOS/RHEL 6或更早的版本上，iptables服务允许用户与netfilter内核模块交互来在用户空间中配置防火墙规则。然而，从CentOS/RHEL 7开始，一个叫做firewalld新用户空间接口被引入以取代iptables服务。

使用这个命令察看当前的防火墙规则：

代码如下:

$ sudo iptables-L

   现在，让我们看看如何在CentOS/RHEL上修改防火墙来开启一个端口。

在CentOS/RHEL 7上开启端口

启动CentOS/RHEL 7后，防火墙规则设置由firewalld服务进程默认管理。一个叫做firewall-cmd的命令行客户端支持和这个守护进程通信以永久修改防火墙规则。

使用这些命令来永久打开一个新端口(如TCP/80)。

代码如下:

$ sudo firewall-cmd--zone=public--add-port=80/tcp--permanent

$ sudo firewall-cmd--reload

如果不使用“--permanent”标记，把么防火墙规则在重启后会失效。

在CentOS/RHEL 6上开启端口

在CentOS/RHEL 6甚至更早版本系统上，iptables服务负责维护防火墙规则。

使用iptables的第一条命令可以通过防火墙开启一个新TCP/UDP端口。为了永久保存修改过的规则，还需要第二条命令。

代码如下:

$ sudo iptables-I INPUT-p tcp-m tcp--dport 80-j ACCEPT

$ sudo service iptables save

另一种方法是通过一个名为system-config-firewall-tui的命令行用户接口(TUI)的防火墙客户端。

代码如下:

$ sudo system-config-firewall-tui

选择位于中间的“Customize”按钮，按下ENTER键即可。

   如果想要为任何已知的服务(如web服务器)修改防火墙，只需勾选该服务，然后关闭工具。如果想要开启任意一个TCP/UDP端口，选择“Forward”按钮，然后进入下一个界面。

   选择“Add”按钮添加一条新规则。

   指定一个端口(如80)或者端口范围(如3000-3030)和协议(如tcp或udp)。

   最后，保存修改过的配置，关闭工具。这样，防火墙就永久保存了。