selinux

nginx配置好了，出现403 Forbidden主要有两种原因：1、nginx没有访问目录的权限；2、nginx的目录里面没有默认文档，并且没有列出目录的权限。 启动了nginx，访问网站，然后出现 403 Forbidden 1、权限问题 这个就是权限的问题，要保证，nginx对配置的目录有权限。 首先，我们去查看一下，配置的目录,下文中{nginx}表示你的nginx安装路径： vi {nginx} /conf/nginx.conf 1 1 然后找到这一段： server { listen 80 ; server_name localhost; #charset koi8-r; #access_log logs/host.access.log main; location / { root /home/xxx/website/nginxweb; index index .html index .htm; } } 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1 2 3 4 5 6 7 8 9 10 11 12 13 14 其中的 root /home/xxx/website/nginxweb; 中的/home/xxx/website/nginxweb就是你的目录，index是你的默认文档。 我们去看看这个目录你是什么权限，这个我就不说了。

序号 题目 需求 操作 1 配置SELinux system1 & system2 要求SELinux的工作模式为enforcing，且重启依然有效 vim /etc/selinux/config SELINUX= enforcing setenforce 1 getenforce 2 配置SSH访问 system1 & system2 允许 group8.example.com 域的客户对 system1 和 system2 进行 ssh 访问 禁止 my133t.org 域的客户对 system1 和 system2 进行 ssh 访问 备注： my133t.org 是在 172.13.8.0/24 网络 firewall-config firewall-cmd --list-all 3 自定义用户环境 system1 & system2 在系统system1和system2上创建自定义命令为qstat ，要求： 此自定义命令将执行以下命令：/bin/ps -Ao pid,tt,user,fname,rsz 此命令对系统中的所有用户有效 vim /etc/profile alias qstat='/bin/ps -Ao pid,tt,user,fname,rsz' source /etc/profile qstat 4 配置端口转发 system1 在 172.24.8.0

SELinux功能 SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，这个功能管理员又爱又恨，大多数生产环境也是关闭的做法，安全手段使用其他方法。 大多数ssh连接不上虚拟机，都是因为防火墙和selinux阻挡了 永久关闭方式： 1.修改配置文件，永久生效关闭selinux cp /etc/selinux/config /etc/selinux/config.bak #修改前备份 2.修改方式可以vim编辑,找到 # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=disabled 3.用sed替换 sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 4.检查状态

PXE简介 许多情况下我们手动安装操作系统是不现实的，尤其是当数量较多的时候。这个时候就要借助其他的技术 了。 PXE就是其中的一种。 PXE全称是：Preboot Excution Environment 预启动执行环境是由Intel公司研发的基于Client/Server的网络模式，支持远程主机通过网络从远端服务器下载映像，并由此支持通过网络启动操作系统 PXE可以引导和安装Windows,linux等多种操作系统，这里只说Linux不说Windows。 PXE的具体工作有些复杂，不过多介绍，有兴趣的可以自行百度，这里只说实现。以下全部基于虚拟机实现。VM14，Cent7.5 大体流程 1.环境准备 2.检查防火墙和SELinux的设置，确保都是关闭的 3.安装所需的必要软件包并开启对应的服务 4.准备安装源 5.准备自动应答文件，并放到可以被访问到的地方 6.配置DHCP服务并启动 7.将必要的文件复制到相关目录 8.修改启动菜单，以及一些其他的配置文件 8.启动测试 安装过程 环境准备 首先准备至少两台虚拟机，其中一台作为服务器使用。 (基本所有配置操作都是在服务器上客户端机器不需要配置。）还需要至少一个安装源（系统安装镜像文件） 1.将两台虚拟机网卡配置为仅主机模式（主要是和外网隔离，以面影响实体机的DHCP服务） 2.关闭VMware的DHCP服务 在

RedHat/CentOS7下修改Mongodb数据目录 互联网 尧 2年前 (2017-02-28) 1313℃ 0评论 今天给自己一台服务器装了Mongodb数据库，遇到一些问题，在这里记录一下。 这次是通过yum源安装的mongodb3.4.2版本，安装完后直接运行没有问题。接着修改配置文件，把数据目录修改到挂载的其他盘上，因为默认的是/var/lib/mongo。 当停止服务修改完重启服务，发现服务一直起不来！然后查看日志，exception in initAndListen: 20 Attempted to create a lock file on a read-only directory: /data/db, terminating，然后code=100； 这下蒙蔽了，之前安装过一次然后修改配置文件都妥妥的，开始排查问题，按提示的问题把数据目录权限设置成777依旧起不来，改用户组也一样。折腾了一上午，最后定位问题是，因为yum安装的是通过创建的mongod用户运行服务，当服务器SELinux开启的时候，修改mongodb数据库的数据目录需要修改安全上下文。 只需在终端敲下面这行代码即可完成更改： Shell 1 chcon -R -t mongod_var_lib_t /data/db 运行完命令后就能正常启动Mongodb服务了~ 注：RedHat

查看SELinux状态 转载（ https://www.cnblogs.com/yunweis/p/7727313.html ） 1.sestatus -v 2.getenforce ##也可以用这个命令检查 关闭SELinux： 1、临时关闭（不用重启机器）： setenforce 0 ##设置SELinux 成为permissive模式 ##setenforce 1 设置SELinux 成为enforcing模式 2.修改配置文件需要重启机器： 修改/etc/selinux/config 文件 将SELINUX=enforcing改为SELINUX=disabled 重启机器即可 不关闭的话可能引起的问题： CentOS 为 vsftpd 启动 vsftpd：500 OOPS: cannot read config file: /etc/vsftpd/vsftpd.conf 来源： https://www.cnblogs.com/lyy3306/p/11827846.html

1.基础优化操作项：更新yum源信息 第一个：就近使用yum源地址，安装软件更快。 curl -s -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo 第二个：安装RHEL/CentOS官方源不提供的软件包 curl -s -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo 2.安全优化:关闭SELinux及iptables（在工作场景中，如果有外部IP一般要打开iptables，高并发流量的服务器可能无法开启） # 关闭selinux sed -i 's#SELINUX=.*#SELINUX=disabled#g' /etc/selinux/config sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config grep SELINUX=disabled /etc/selinux/config setenforce 0 getenforce 3.关闭firewalld防火墙服务 systemctl stop firewalld systemctl disable firewalld systemctl

SElinux是基于内核开发出来的一种安全机制，被称之为内核级加强型防火墙，有力的提升了系统的安全性。 SElinux的作用分为两方面：1.在服务上面加上标签； 2.在功能上面限制功能 在linux系统中使用 getenforce 命令可以查看selinux的状态： 　　disabled 为关闭状态，对服务和功能都没有限制 　　enforcing 为强制状态，对服务和功能都进行限制 　　permissive 为警告状态，服务和功能可以使用，但会收到警告信息，可视为对安全的提示 在selinux开启状态时，可使用setenforce 0|1 来调整selinux的状态，0为警告状态，1为强制状态，如下图所示： 　　 selinux的状态在配置文件 /etc/selinux/config 中也可以设置： 　　路径：vim /etc/selinux/config 　　 　　注：由于selinux是基于内核开发的，所以改变状态以后，需要重启内核，也就是关机以后才能够生效 在selinux开启的状态下，可以看到文件的安全上下文的标签，输入ls -Z 可以看到目录下的文件和目录的安全上下文标签： 　　 Linux内核防火墙的工作原理 　　Linux的内核提供的防火墙功能通过netfiter框架实现，并提供iptables工具配置和修改防火墙的规则 　

Server With GUI +Compatility libraries+ Development Tools 关闭图形化： systemctl set-default multi-user.target 关防火墙： #systemctl stop firewalld #systemctl disable firewalld 关NetworkManager： # systemctl stop NetworkManager # systemctl disable NetworkManager 关selinux: vi /etc/sysconfig/selinux SELINUX=enforcing 改为 SELINUX=disabled ，重启生效 服务器上挂载光盘镜像 ISO 文件。 #mkdir -pv /mnt/cdrom #mount -t iso9660 /dev/cdrom /mnt/cdrom [root@oem13c yum.repos.d]# cat RhOS-Yum-Local.repo [base] name=RedhatOS-$releasever - Base baseurl=file:///mnt/cdrom enabled=1 gpgcheck=0 来源： https://www.cnblogs.com/vzhangxk/p/11798335