任务四：修改httpd策略，selinux为enforcing模式下，站点能正常访问

1. 修改httpd配置文件为允许用户目录

   vim /etc/httpd/conf.d/userdir.conf

   

2. 启动httpd服务和关闭防火墙

   systemctl start httpd
   systemctl stop firewalld
   systemctl status httpd firewalld

   

3. 切换到 lisi 账号下，在 lisi 的家目录下创建文件夹 public_html ，并在该文件夹下创建文件 lisiweb.html ，写入内容 this is a web from lisi ，查看其上下文

   useradd lisi
   su - lisi
   mkdir public_html
   echo "this is a web from lisi" > public_html/lisiweb.html

   

4. 修改 lisi 家目录权限为 755 ，让httpd可以访问

   chmod 755 ~  # 只有当前用户为lisi该命令才会生效

   

5. 在电脑端用浏览器访问 lisiweb.html ，无法访问

   http://192.168.21.11/~lisi/lisiweb.html

   

6. 退回到root账号，将selinux设置为permissive模式，访问站点正常

   setenforce 0
   getenforce

   

7. 将selinux设为 enforcing 模式，查看 httpd_enable_homedirs 规则并修改为开启

   setenforce 1
   getenforce
   setsebool -P httpd_enable_homedirs on
   getsebool httpd_enable_homedirs

   命令解析：setsebool

   setsebool [选项] 规则名称 on|off ：设置布尔值，on或1为开启，off或0为关闭

   -P ：永久生效

   命令样例：getsebool

   getsebool –a | grep "httpd" ：查看布尔值，模糊查找

   getsebool httpd_use_nfs ：查看布尔值，精确查找

   命令样例：sestatus

   sestatus –b | grep "httpd" ：查看布尔值，模糊查找

   命令样例：semanage

   semanage boolean –l ：查看布尔值当前值，默认值和描述

   

8. 在电脑端用浏览器访问 lisiweb.html，正常

   

任务五：通过selinux日志来辅助解决拦截问题

注意： 在 S2-P6-1 中修改了httpd服务的配置文件，网页根目录不为 /var/www/html ，需修改回来

vim /etc/httpd/conf/httpd.conf

systemctl restart httpd

1. 启动httpd服务和关闭防火墙

   systemctl start httpd
   systemctl stop firewalld
   systemctl status httpd firewalld

   

2. 在 root 家目录下创建 index2.html ，写入内容，并通过命令 mv 移动到 /var/www/html 下

   

3. 电脑浏览器访问，提示无法访问

   http://192.168.21.11/index2.html

   

4. 将selinux设置为 permissive 模式，访问站点正常，确认是selinxu拦截

   setenforce 0
   getenforce

   

5. 将selinux设为 enforcing 模式，再次无法访问

   setenforce 1
   getenforce

   

6. 通过分析selinux日志来解决问题

   1. 安装分析工具 sealert

      yum install -y setroubleshoot-server

      

   2. 使用命令 sealert 分析问题

      sealert -a /var/log/audit/audit.log > selog.txt

      

   3. 查看分析出来的建议

      vim selog.txt

      

7. 参照日志修改问题后，站点访问正常

   # 分析工具给出的解决命令
   /sbin/restorecon -v /var/www/html/index2.html

   

拓展：在linux上搭建一个samba服务，配置其selinux的安全上下文和策略，selinux为enforcing模式，让windows下用户可以正常访问Samba资源

1. 配置本地yum源（注意镜像位置正确,连接,挂载；编写repo文件；yum repolist验证）

   

2. 安装 samba 并启动 samba 服务

   yum install samba -y

   

3. 添加samba用户 lisi 和设置密码 123

   smbpasswd -a lisi

   

4. 在根 / 下创建共享文件夹 /share 并修改权限为 777

   mkdir /share
   chmod 777 /share/

   

5. 修改samba配置文件 /etc/samba/smb.conf ，添加如下内容：

   vim /etc/samba/smb.conf

   

   

6. 重启samba服务并关闭防火墙和设置selinux为0

   

7. windows端访问验证 \\192.168.21.11，在 /share 下创建文件

   登录：

   

   访问：

   

   创建：

   

8. 将selinux设置为 enforcing 模式再次连接，无法进入 /share 目录

   

   访问：

   

9. 查看日志分析原因，尝试不同方法修改上下文或者策略，保证selinux为 1 的情况下， share 和 lisi 目录均可以访问

   1. 分析原因

      

      1. /share 目录无法访问的解决办法：

         

      2. /lisi 目录无法访问的解决办法：

         

   2. 参考分析解决问题

      1. /share 目录无法访问的解决：

         semanage fcontext -a -t samba_share_t '/share(/.*)?'
         restorecon -Rv '/share'

         

         

      2. /lisi 目录无法访问的解决办法：

         setsebool -P samba_enable_home_dirs 1

         

版权所有

版权归属：DDoS_LING

许可证：署名 4.0 国际 (CC-BY-4.0)