selinux

查看SELinux状态： 1、/usr/sbin/sestatus -v ##如果SELinux status参数为enabled即为开启状态 SELinux status: enabled 2、getenforce ##也可以用这个命令检查 关闭SELinux： 1、临时关闭（不用重启机器）： setenforce 0 ##设置SELinux 成为permissive模式 ##setenforce 1 设置SELinux 成为enforcing模式 2、修改配置文件需要重启机器： 修改/etc/selinux/config 文件 将SELINUX=enforcing改为SELINUX=disabled 重启机器即可 来源： oschina 链接： https://my.oschina.net/u/1271887/blog/209651

阿里云 > 教程中心 > linux教程 > 在CentOS上配置基于主机的入侵检测系统（IDS） 在CentOS上配置基于主机的入侵检测系统（IDS） 发布时间：2018-01-19 来源：网络 上传者：用户 关键字: 检测 主机 发表文章 摘要：所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一,就是检测文件篡改的机制——不仅仅是文件内容,而且也包括它们的属性。AIDE(“高级入侵检测环境”的简称)是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs,以及md5/sha校验值在内的各 所有系统管理员想要在他们生产服务器上首先要部署的安全手段之一,就是检测文件篡改的机制——不仅仅是文件内容,而且也包括它们的属性。 AIDE (“高级入侵检测环境”的简称)是一个开源的基于主机的入侵检测系统。AIDE通过检查大量文件属性的不一致性来检查系统二进制文件和基本配置文件的完整性,这些文件属性包括权限、文件类型、索引节点、链接数、链接名、用户、组、文件大小、块计数、修改时间、添加时间、创建时间、acl、SELinux安全上下文、xattrs,以及md5

拿到机器，不要第一时间配置环境。先做如下配置： 添加用户，禁用root远程ssh登录 # useradd wangzhibo //先建自己的用户 # vim /etc/ssh/sshd_config //然后root远程给禁用 PermitRootLogin no //将PermitRootLogin的值yes改为no # systemctl restart sshd //重启sshd服务 禁用selinux 查看selinux状态 # sestatus //查看selinux状态 # getenforce # /usr/sbin/sestatus -v 禁用selinux 临时关闭 设置SELinux 成为permissive模式 # setenforce 1 设置SELinux 成为enforcing模式 # setenforce 0 永久关闭 # vi /etc/selinux/config SELINUX=disabled 将SELINUX=enforcing改为SELINUX=disabled，设置后需要重启才能生效 检查更新系统所有可以通过yum和rpm安装的所有软件包 # yum update -y 生产环境，就不要用这个命令了，根据实际需要，需要更新那个包，就单独更新 epel-release第三方源安装。 自带源rpm软件太少，安装第三方源，减少下载软件的麻烦。

CentOS下SELinux安全设置 centos 系统安全防御 2017年12月14日 529 0 0 一、SELinux配置文件 在CentOS 7系统中部署SELinux非常简单，由于SELinux已经作为模块集成到内核中，默认SELinux已经处于激活状态。对管理员来说，更多的是需要配置与管理SELinux，CentOS 7系统中SELinux全局配置文件为/etc/sysconfig/selinux，内容如下： [root @centos7 ~] # vim /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted -

现象 修改httpd端口为9080，并启动提示如下： [root @haifeng ~]# service httpd start Starting httpd: (13)Permission denied: make_sock: could not bind to address [::]:9080 (13)Permission denied: make_sock: could not bind to address 0.0.0.0:9080 no listening sockets available, shutting down Unable to open logs [FAILED] 问题解决： 1、先不重启禁用selinux使用 setenforce 0 2、设置配置文件/etc/selinux/config和 /etc/sysconfig/selinux里面都禁用selinux， 以后重启生效。 网友提示： 1、先是查看9080端口有没被其他程序占用 #netstat -anpt | grep 9080，未被占用 2、查看权限问题， 3、查看selinux状态 #getenforce 状态为 Enforcing 可能是配置未生效，/etc/sysconfig/selinux里面配置是禁用，/etc/selinux/config这里是未禁用 注：getenforce

系统基本优化 学习目标 知道如何关闭SELinux和防火墙 知道如何修改sshd的端口号 知道如何修改系统默认运行级别 一、永久关闭SELinux SELinux（Security-Enhanced Linux）是美国国家安全局（NSA）对于强制访问控制的实现，这个功能会提高系统安全性，但会造成很多麻烦，所以一般选择关闭，这也是大多数生产环境的做法。 1. 永久关闭 [root@itcast ~]# cp /etc/selinux/config /etc/selinux/config.bak [root@itcast ~]# vim /etc/selinux/config SELINUX=enforcing 改为 SELINUX=disabled # 及时生效 [root@itcast ~]# setenforce 0 2. 临时关闭 [root@itcast ~]# setenforce 0 二、关闭防火墙 关闭防火墙的目的是为了让初学者学习更方便，将来在学了iptables技术后可再统一开启。 在企业环境中，一般只有配置外网IP的linux服务器才需要开启防火墙，但即使是有外网IP，对于高并发高流量的业务服务器仍是不能开的，因为会有较大性能损失，导致网站访问很慢，这种情况下只能在前端加更好的硬件防火墙了。 1. 永久开启关闭防火墙 开机禁用：systemctl disable

版权声明：本文为博主原创文章，遵循 CC 4.0 by-sa 版权协议，转载请附上原文出处链接和本声明。 本文链接：https://blog.csdn.net/wbdxz/article/details/79597020 1.CentOS官方的Wiki提供了在7上关闭IPv6的方法。英文如下 How do I disable IPv6? Upstream employee Daniel Walsh recommends not disabling the ipv6 module, as that can cause issues with SELinux and other components, but adding the following to /etc/sysctl.conf: net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 To disable in the running system: echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6 echo 1 > /proc/sys/net/ipv6/conf/default/disable_ipv6 or sysctl -w net.ipv6.conf.all.disable

（1）apache程序，HTTPD服务， （2）SELinux安全子系统。 semanage命令 （3）个人用户主页功能 getsebool -a, setsebool -p 来源： oschina 链接： https://my.oschina.net/u/4251328/blog/3138958

当我们最小安装CentOS系统时，使用FTP服务上传文件的是时候，发现系统没有FTP服务，此时我们需要给系统安装FTP文件传输服务。接下来我们开始安装FTP服务，首先使用SSH连接服务器（知道IP情况下）： 使用 SSH 用户@IP地址 连接主机，然后输入密码 然后在终端执行：yum -y install vsftpd 特别注意：如果安装ftp服务时不能解析域名，需要配置dns解析：vi /etc/resolv.conf nameserver 8.8.8.8 nameserver 8.8.4.4 安装完成FTP服务，这时候使用FTP服务还是连接不上，主要是: linux 系统默认是没有开放FTP的21端口的，需要手动打开21端口,我们修改vsftpd的配置文件：vi /etc/vsftpd/vsftpd.conf 1.修改禁止匿名用户登陆 anonymous_enable=NO 2.不启动IPV6设置 listen=YES #listen_ipv6=YES 3.设置用户权限 userlist_file=/etc/vsftpd/user_list 接下开打开FTP客户端连接： ip：192.168.100.100 name：root pass：123456 禁止防火墙： systemctl stop firewalld.service 停止防火墙服务 systemctl

（1）apache程序，HTTPD服务， （2）SELinux安全子系统。 semanage命令 （3）个人用户主页功能 getsebool -a, setsebool -p 来源： https://my.oschina.net/u/4251328/blog/3138958