[全]RHCE試題EX300詳解-配置SELinux

1、RHCE試題EX300詳解-配置SELinux模擬環(huán)境介紹：您 在 考 試 中 的 兩 個(gè) 系 統(tǒng) 信 息 如 下 ： 是一個(gè)主要的服務(wù)器； 主要用作客戶端.兩個(gè)系統(tǒng)的root密碼為redhat，系統(tǒng)的IP地址由DHCP提供，您可以視其為正常，也可以按照以下信息重新設(shè)置為靜態(tài)IP： 1/24 0/24您的系統(tǒng)是DNS域的成員，所在域中的系統(tǒng)都在子網(wǎng)172.25.X.0/24中，所

2、有要求配置的服務(wù)都必須能被中的系統(tǒng)訪問；提供了集中認(rèn)證的服務(wù)域，兩個(gè)系統(tǒng)serverX與desktopX已預(yù)先配置成此域的客戶端，此域提供用戶賬戶ldapuser1, ldapuser2, ldapuser3,密碼為redhat。防火墻默認(rèn)是打開的，您認(rèn)為合適的時(shí)候可以關(guān)閉，其他關(guān)于防火墻的設(shè)置可能在單獨(dú)的要求中。系統(tǒng)重啟要要求能自動(dòng)進(jìn)入合適的多用戶級(jí)別，而無需人工協(xié)助，如果考試用的虛擬機(jī)不能啟動(dòng)或者不能正常啟動(dòng)，將被計(jì)零分?？梢允褂?content/rh

3、el7.0/x86_64/dvd 配置您的YUM倉庫您將會(huì)注意到一些要求明確不允許被域訪問，這個(gè)域中的系統(tǒng)在/24的子網(wǎng)中。您沒有物理機(jī)的root密碼，普通用戶已經(jīng)自動(dòng)登錄到您的物理機(jī)。題目要求：在server0和desktop0上設(shè)定SeLinux SeLinux的工作模式為enforcing 要求系統(tǒng)重啟后依然生效知識(shí)點(diǎn)小貼士：（1）SELinux 概述：安全增強(qiáng)型 Linux（Security-Enhanced Linux）簡稱 SELinux，它是一個(gè) Linux 內(nèi)核模塊，也是 Linux 的一個(gè)安全子系統(tǒng)，是指安全強(qiáng)化的Linux ，設(shè)計(jì)的目

4、標(biāo)是避免資源的誤用。同時(shí)，SELinux也是在進(jìn)行進(jìn)程、文件等權(quán)限設(shè)定依據(jù)的一個(gè)核心模塊。（2）SELinux 的作用SELinux 主要作用就是最大限度地減小系統(tǒng)中服務(wù)進(jìn)程可訪問的資源（最小權(quán)限原則）。設(shè)想一下，如果一個(gè)以 root 身份運(yùn)行的網(wǎng)絡(luò)服務(wù)存在 0day 漏洞，黑客就可以利用這個(gè)漏洞，以 root 的身份在您的服務(wù)器上為所欲為了。是不是很可怕？ELinux 就是來解決這個(gè)問題的。（3）SELinux 的工作模式SELinux 有三種工作模式，分別是： enforcing：強(qiáng)制模式。違反 SELinux 規(guī)則的行為將被阻止并記錄到日志中； permissive：寬容模式。違反 SE

5、Linux 規(guī)則的行為只會(huì)記錄到日志中。一般為調(diào)試用； disabled：關(guān)閉 SELinux。SELinux 工作模式可以在/etc/selinux/config中設(shè)定。setenforce可以設(shè)置SElinux的狀態(tài)，但是只能設(shè)置0和1兩種，即警告模式或者強(qiáng)制模式。如果需要關(guān)閉，則在配置文件/etc/sysconfig/selinux下將SELINUX=enforcing改為SELINUX=disabled，因?yàn)镾Elinux是基于內(nèi)核的安全系統(tǒng)，所以在設(shè)置完成之后需要重啟內(nèi)核，即需要重啟電腦才可以生效。解題技巧：（1）查看當(dāng)前設(shè)備狀態(tài)：rootserver0#sestatus（2）設(shè)置為Enforcing模式：rootserver0#setenforce 1注釋：setenforce 參數(shù)為1 或 0，1 代表（Enforcing）強(qiáng)制模式，0代表寬容(permissive) 的模式。（3）修改Selinux配置文件：rootserver0#vim /etc/selinux/config/etc/sel