第一:开启相关服务,监控SELINUX
相关服务:setroubleshoot,auditd,大多数都是以se开头的
如果没有此服务,先yum下,然后查看状态
这里关于auditd说明,centos7不可以用systemctl重启auditd服务,需要用service audite restart命令来重启(安装setroubleshoot后,需要重启此命令后才可以正常写入日志到/var/log/message里面,否则在错误日志里面是看不到详细信息的,如下图---
如果未重启auditd服务,访问页面后日志里面看不到信息
下面第三点会提供重启服务后的显示日志
第二:SELINUX问题复现
创建访问页面,然后复制到相关的目录下(以为安全上下文不通,导致访问拒绝,正常可以在相关目录下创建访问页面,但是为了问题复现在其他目录下创建文件如图,可以看到type是admin_home_t
访问测试结果如下:
第三:根据监控日志找到解决方案并测试
拒绝访问后,查看日志(auditd必须要重启,看下启动后的时间是否是最近的时间)
启动之前时间
启动后时间
再次查看日志信息,注意提示用红色框内的命令显示完整信息
输入提示命令,查看详细的SELINUX信息
SELINUX 日志的好处在于里面会提供错误问题和解决方案,如上图可以看到因为安全上下文类型不对导致,可以修改类型或者恢复默认类型,上图是恢复默认类型(前提是在配置文件里面必须配置以后才可以恢复默认类型)
那么类型的修改我们可以用chcon命令,共有两种格式
1)chcon -t 类型(httpd_sys_content_t) 文件(/var/www/html/index.html)
2)chcon ---reference=范例文件 文件 #此命令需要有参考文件,将目标文件按照参考文件的类型设置
最后让我们恢复默认类型,查看最新的安全上下文类型,然后再次访问测试
由上图可以看到,恢复后,网页正常访问,文件类型也改成了httpd_sys_content_t了。结束
SELINUX总结(参考书籍:鸟哥私房菜):
1.在服务与rwx权限都没有问题,却无法成功使用网络时,先用setenforce 0设置宽容模式
2.再次访问该网络,如果能用,表示SELINUX出现的问题,继续往下处理。如果这样还不能用,那问题就不在SELINUX上面,找其他办吧解决吧。如果是第一种,请继续
3.查看/var/log/message内的信息,找到sealert -l 相关信息并且执行(如果auditd没有重启,可能没有这个消息,上面有介绍)
4.找到allow access的关键词,按照提供的方法进行SELINUX的错误客服
5.处理完毕重新setenforce 1 ,再次测试网络服务。
总之分析日志文件,就可以轻松管理SELINUX了。
