selinux

简介 openshift是基于k8s的开源容器云。 要求 系统环境：CentOS 7.5 搭建一个master节点，两个node节点 注意： openshift3 依赖docker的版本为1.13.1 openshift3.10支持的是ansible2.4.3.0以上2.8.X以下 保证各节点时间统一，可以统一向阿里云时间服务器同步 准备工作 所有节点创建工作目录：在根目录下创建家目录 mkdir /home && cd /home # 先关闭防火墙，后续为了安全再重新配置防火墙 # 查看防火墙的状态 systemctl status firewalld # 关闭防火墙 systemctl stop firewalld # 关闭防火墙的自启动 systemctl disable firewalld 配置说明 修改主机名 #master: #192.168.2.180 hostnamectl set-hostname master.example.com #node1: #192.168.2.181 hostnamectl set-hostname node1.example.com #node2: #192.168.2.182 hostnamectl set-hostname node2.example.com 域名映射 这3台主机(master,node1,node2)都需要在

# 1.首先安装一台centos7(4G+40G+NAT+最小安装+管理员密码设置为root),并复制三份,分别重命名为node01,node02,node03. 标题 标题 # 2。其次分别对 node01,node02,node03 三台主机进行如下配置 # 将网卡配置文件最后一行的 ONBOOT=no 修改为 ONBOOT=yes [root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-ens33 ONBOOT=yes [root@localhost ~]# service network restart Restarting network (via systemctl): [ OK ] [root@localhost ~]# yum -y install net-tools wget vim zip unzip lrzsz [root@localhost ~]# ifconfig ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.150.128 netmask 255.255.255.0 broadcast 192.168.150.255 inet6 fe80::6841:a8ff:9497:3fed

1.操作系统的基础优化 准备工作: (1)系统硬件信息查看 名称-------文件 ------- -----------------命令 CPU: ------- cat /proc/cpuinfo ------ lscpu 内存: -------- cat /proc/meminfo -----free -h 磁盘: -------- cat /proc/mounts ------- df -h 负载: -------- cat /proc/loadavg ------ w uptime top (2)系统版本信息查看 文件查看:cat /etc/redhat-release 命令查看:uname -a 2.系统用户优化部分 (1)如何创建用户:useradd oldboy (2)如何设置密码: 方法一:利用root用户设置密码 [root@linux67 tmp]# passwd oldgirl Changing password for user oldgirl. New password: BAD PASSWORD: The password is shorter than 8 characters Retype new password: passwd: all authentication tokens updated successfully. 方法二:

  Android SELinux开发入门指南之如何增加Native Binder Service权限 前言   Android的妈咪谷歌为了解决Android系统一直让人诟病的安全问题，在Android 4.4以后强制引入了SELinux安全管理。SELinux虽然可以将安全提升一个层级，但是有时候的实际效果确实杀敌一千，自损八百给开开发造成许多的困难。Android Binder的重要性，这个无需多言了，为了开发的必要性我们经常需要添加一些Native Binder Service来实施一些功能，但是经常会出现下述截图中的一些avc denied的错误，如下： 注意 ：这里的实际操作是在Android 8版本上面进行的。 正式开干 上述就以如下实际案例例说明，这里的错误主要是添加一个Native Binder Service时被SELinux拦截导致，提示如下错误信息： E/SELinux ( 261 ) : avc: denied { add } for service = PaxApiService scontext = u:r:init:s0 tcontext = u:object_r:default_android_service:s0 tclass = service_manager 这个错误主要是Android ServiceManager添加Native

问题描述： 有一台使用中的docker突然发生了故障，然后启动docker失败。 机器的系统版本：CentOS Linux release 7.3.1611 (Core) 最后将这台机器的docker卸载后重装，但是docker还是起不来，启动docker报“Error starting daemon: SELinux is not supported with the overlay2 graph driver on this kernel.”的错误。具体的报错信息如下： [root@registry lib]# systemctl start docker Job for docker.service failed because the control process exited with error code. See "systemctl status docker.service" and "journalctl -xe" for details. [root@registry lib]# systemctl status docker.service ● docker.service - Docker Application Container Engine Loaded: loaded (/usr/lib/systemd/system/docker.service

一、SELinux介绍   selinux强制访问控制的一种策略，在传统的linux系统中，一切皆文件，有用户，组和权限来控制访问，在selinux中，一切皆对象，由存放在扩展属性域的安全元素控制访问，所有文件、端口、进程都具备安全上下文，安全上下文主要分为五个安全元素user、role、type、sensitivity、category。 二、五个安全元素 user：登录系统的用户类型，如root，user_u,system_u,所属本地进程都属于自由（unconfined）进程 role：定义文件，进程和用户的用途：文件：object_r,进程和用户：system_r type:数据类型，在规则中，何种进程类型访问何种文件都是基于type来实现的，多服务公用的类型有public_content_t sensitivity：限制访问的需要由组织定义的分层 category：对于规定组织划分不分层的分类 三、selinux工作模式   selinux主要模式有：strict(centos5)、targeted、minimun（centos7）、mls几类，selinux系统默认选择是targeten，strict已经不再使用，minimun和mls稳定性不足 四、实际上下文和期望上下文 实际上下文：存放在元数据中，查看文件上下文：ls -Z。查看进程上下文：ps -Z 期望上下文

通过更改SElinux状态可以判断出，当SElinux处于关闭状态时，网站内容访问正常。 [root@master1-192-168-117-18 ~]# setenforce 0 [root@master1-192-168-117-18 ~]# getenforce Permissive [root@master1-192-168-117-18 ~]# setenforce 1 [root@master1-192-168-117-18 ~]# getenforce 0 Enforcing 查看网站的主目录的SElinux安全上下文值： [root@master1-192-168-117-18 ~]# ls -Zd /var/www/html/ drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/ [root@master1-192-168-117-18 ~]# ls -Zd /home/wwwroot/ drwxr-xr-x. root root system_u:object_r:user_home_dir_t:s0 /home/wwwroot/ 将新添加的主目录SElinux上下文值与系统默认主目录保持一致： [root@master1-192-168-117-18 ~]#

通过更改SElinux状态可以判断出，当SElinux处于关闭状态时，网站内容访问正常。 [root@master1-192-168-117-18 ~]# setenforce 0 [root@master1-192-168-117-18 ~]# getenforce Permissive [root@master1-192-168-117-18 ~]# setenforce 1 [root@master1-192-168-117-18 ~]# getenforce 0 Enforcing 查看网站的主目录的SElinux安全上下文值： [root@master1-192-168-117-18 ~]# ls -Zd /var/www/html/ drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/ [root@master1-192-168-117-18 ~]# ls -Zd /home/wwwroot/ drwxr-xr-x. root root system_u:object_r:user_home_dir_t:s0 /home/wwwroot/ 将新添加的主目录SElinux上下文值与系统默认主目录保持一致： [root@master1-192-168-117-18 ~]#

临时修改主机名 显示主机名： # hostname 1 修改主机名： # sudo hostname aaa 1 永久修改主机名 以上的修改只是临时修改，重启后就恢复原样了。 步骤1： 修改/etc/sysconfig/network中的hostname vi /etc/sysconfig/network HOSTNAME=localhost.localdomain #修改localhost.localdomain为aaa 1 2 修改network的HOSTNAME项。点前面是主机名，点后面是域名。没有点就是主机名。 这个是永久修改，重启后生效。目前不知道怎么立即生效。 想立即生效，可以同时采用第一种方法。 步骤2： 修改/etc/hosts文件 vi /etc/hosts 127.0.0.1 localhost.localdomain #修改localhost.localdomain为aaa 1 2 shutdown -r now #最后，重启服务器即可。 查看SELinux状态： 1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态 SELinux status: enabled 2、getenforce ##也可以用这个命令检查 关闭SELinux： 1、临时关闭（不用重启机器）： setenforce 0 #