selinux

init: Service xxx does not have a SELinux domain defined. 该提示说明没有定义SELinux domain，导致服务xxx无法自启动。为了解决这个问题我们按如下方式修改或添加sepolicy文件： ● 修改system/ seplicy/file_contexts文件，添加以下内容： /system/bin/xxx u:object_r:xxx_ exec :s0 ● 新增xxx.te文件，并在其中添加如下内容： xxx, domain; xxx_ exec , exec _ type , file_ type ; allow idmap resource_cache_data_file:dir rw_dir_perms; allow idmap resource_cache_data_file:file create_file_perms; 上面俩行是权限allow，可能会遇到权限还不够，具体增加方法看下面案列 ●最后 有时候会遇到avc denied报错问题，这是因为安卓4.4（好像）以后增加了SELINUX权限问题 <7>[11281.586780] avc: denied { read write } for pid=1217 comm="mediaserver" name="tfa9897" dev="tmpfs"

环境：centos7 命令：systemctl start docker 报错：Error starting daemon: SELinux is not supported with the overlay2 graph driver on this kernel. Either boot into a newer kernel or disable selinux in docker (--selinux-enabled=false) 解决方案： 意思是说：此linux的内核中的SELinux不支持 overlay2 graph driver ，解决方法有两个，要么启动一个新内核，要么就在docker里禁用selinux，--selinux-enabled=false 重新编辑docker配置文件： vi /etc/sysconfig/docker 改为： systemctl start docker 原文地址：https://blog.csdn.net/a1010256340/article/details/80106156 文章来源: docker启动报错：Error starting daemon: SELinux is not supported with the overlay2 graph driver on this ke

前言： SELinux是一个很深奥的东西，我问过身边好多运维技术人员，他们公司服务器的SElinux在生产环境中是开启状态还是关闭状态，得到一个统一的答案――直接关闭，无一例外。 网上也有一句话――一个资深的运维工程师，他系统的SELinux一定是关闭的。 所以说，想了解SELinux的，可以了解一下，为了以防以后自己所在的公司要求必须开启SELinux，但自己又不懂，那就尴尬了，不了解也无所谓，因为遇到强制开启SELinux的公司，也不是那么容易的事情。 上面说了那么一大堆，那么什么是SELinux呢？这篇文章就要聊一聊SELinux的一些概念及设置方法。 正文： SELinux它是安全强化的linux含义，我们都知道在Linux中，一个文件能不能被当前用户所读取到，是由该用户对这个文件所具有的权限来决定的，熟知的一般权限有读、写、执行，特殊的一点的权限又有lsattr命令查看到的特殊权限，又或者是SUID、SGID、SBIT等特殊权限，这些权限基本都是针对用户来进行控制的，而SELinux类似这些权限，但又不是和这些权限一个种类的，前面说到的权限是针对用户进行权限控制的，而SELinux是针对某个进程进行控制的，那么，当用户对一个文件进行读取操作时，系统是如何执行的呢？下面附上鸟哥的私房菜中的一张图片一起来看一下： 上图的重点在于程序如何取得目标的资源访问权限！由上图可以看出来

一、用smbclient命令登录成功但看不了文件 　　原因：SELinux的阻挡 　　解决：1、关闭SELinux ： setenforce 0 （临时生效，重启后失效） 　　　　　　　　　　　　　　或vi /etc/sysconfig/selinux将SELINUX=enforcing改为SELINUX=disabled（永久生效） 　　　　 　　　　　2、更改共享目录的context值： chcon -t samba_share_t /share/（share为共享文件夹） 二、用put上传文件时提示NT_STATUS_OBJECT_PATH_NOT_FOUND opening remote file \/etc/passwd 　　原因：文件目标远 　　解决：切换到文件所在目录下，再用smbclient命令登录并用put命令上传，不用绝对路径 三、登录成功但是显示tree connect failed: NT_STATUS_ACCESS_DENIED 　　原因：用户在配置文件中没被生效 　　解决：在/etc/samba/smb.conf文件中的valid users = u1,u3中加入对应用户 来源：博客园 作者： 待乾卦 链接：https://www.cnblogs.com/gchen-frank/p/11441656.html

版权声明：本文为博主原创文章，未经博主允许不得转载。 https://blog.csdn.net/lf12345678910/article/details/72915535 android\system\sepolicy\ 一 SELinux背景知识 1. DAC和MAC SELinux出现之前，Linux上的安全模型叫DAC，全称是Discretionary Access Control，翻译为自主访问控制。DAC的核心思想很简单，就是： 进程理论上所拥有的权限与执行它的用户的权限相同。比如，以root用户启动Browser，那么Browser就有root用户的权限，在Linux系统上能干任何事情。 显然，DAC太过宽松了，所以各路高手想方设法都要在Android系统上搞到root权限。那么SELinux如何解决这个问题呢？原来，它在DAC之外，设计了一个新的安全模型，叫MAC（Mandatory Access Control），翻译为强制访问控制。MAC的处世哲学非常简单：即任何进程想在SELinux系统中干任何事情，都必须先在安全策略配置文件中赋予权限。凡是没有出现在安全策略配置文件中的权限，进程就没有该权限 /* from external/sepolicy/netd.te 下面这条SELinux语句表示 允许（allow ）netd域（domain）中的进程 ”写

linux异常处理：selinux配置错误导致无法重启 一次linux无法重启异常记录： 当时第一反应就是梳理最近的配置变更，特别是能预知相关的就是selinux配置变更。 原来是误将SELINUXTYPE看成SELINUX后，将其值改为disabled。导致操作系统服务启动，无法进入单用户模式。变更回来之后，一切正常。 解决方法一： 系统启动的时候，按下‘e’键进入grub编辑界面，编辑grub菜单，使用上下键选择“kernel ” 一行，按‘e’键进入编辑，在末尾增加“enforcing=0”，按“enter”保存设置并退到上一层，按‘b’键继续引导后正常开机。收到 恢复“/etc/selinux/config”中的配置信息。再按需求修改“SELINUX=disabled”。 解决方法二： 直接更改。 下面就是谈谈selinux。 安全增强型 Linux（Security-Enhanced Linux） SELinux，它是一个 Linux 内核模块，也是 Linux 的一个安全子系统。 SELinux 主要由美国国家安全局开发。2.6 及以上版本的 Linux 内核都已经集成了 SELinux 模块。 1、SELinux 的作用及权限管理机制 1.1 SELinux 的作用 SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源（最小权限原则）。

官方搭建zabbix4.0的环境要求： 1. 环境搭建LAMP 前提Centos系统安装完成： 确认一下： 1 2 cat / etc / redhat - release # 查看CentOS版本 cat / proc / version #查看存放与内核相关的文件 1.1 搭建之前的操作 1.1.1 升级系统组件到最新的版本 1 yum - y update 1.1.2 关闭selinux 1 vi / etc / selinux / config #将SELINUX=enforcing改为SELINUX=disabled 设置后需要重启才能生效 1 setenforce 0 #临时关闭命令 1 getenforce #检测selinux是否关闭，Disabled 为关闭 1.1.3 关闭防火墙 1 firewall - cmd - - state #查看默认防火墙状态，关闭后显示not running，开启后显示running 1 2 systemctl stop firewalld.service #临时关闭firewall systemctl disable firewalld.service #禁止firewall开机启动 1.2 搭建LAMP环境 1.2.1 安装所需所有软体仓库 Zabbix是建立在LAMP或者LNMP环境之上

主要完成通过playbook自动生成zabbix_server,agent，这里没有完全实现自动化，这里机器的获取还是需要人为手工填写，如果感兴趣想通过自动获取需要部署的机器可以通过namp扫描工具awk命令截取，这里不过多描述。我用两台机器做的测试，老版本的模块用法会有差异，如果无法执行可以通过官网去查看https://ansible-tran.readthedocs.io/en/latest/,参考文档https://www.cnblogs.com/LyShark/p/10886486.html ansible 2.4.2 zabbix 3.4.15 安装nmap扫描工具 yum install nmap -y #通过ping探测172.16.9.0网段中存活机器 nmap -sP 172.16.9.0/24 完成机器间的免密登录 生成公钥对 ssh-keygen -t rsa 设置ansible hosts配置 [test] 172.16.9.141 ansible_ssh_user="root" ansible_ssh_pass="root" 172.16.9.142 ansible_ssh_user="root" ansible_ssh_pass="root" [zabbix_server] 172.16.9.141 [zabbix_client] 172.16.9

环境背景 软件 版本 Centos 7.4 nginx 1.17.5 环境准备 rpm -qa | grep "firewall" | xargs rpm -e --nodeps rpm -qa | grep "iptables" | xargs rpm -e --nodeps sed -i 's/.*UseDNS.*/UseDNS no/' /etc/ssh/sshd_config sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 来源： https://www.cnblogs.com/guge-94/p/11758498.html

Apache ——取自美国印第安人土著语Apache,寓意着拥有高超的作战策略和无穷的耐性，由于其跨平台和安全性广泛被认可且拥有快速、可靠、简单的API扩展。目前拥有很高的Web服务软件市场占用率，全球使用最多的Web服务软件，开源、跨平台（可运行于Unix,linux,windows中）。 支持基于IP或域名的虚拟主机 支持多种方式的HTTP认证 集成代理服务器模块 安全Socket层(SSL) 能够实时见识服务状态与定制日志 多种模块的支持 个人用户主页功能 Apache服务程序中有个默认未开启的 个人用户主页 功能，能够为所有系统内的用户生成个人网站，确实很实用哦~ 第1步:开启个人用户主页功能： [root@linuxprobe ~]# vim /etc/httpd/conf.d/userdir.conf 将第17行的UserDir disabled前加一个#，代表该行被注释掉，不再起作用。 将第23行的UserDir public_html前的#号去除，表示该行被启用。 注意:UserDir参数表示的是需要在用户家目录中创建的网站数据目录的名称(即 public_html ) 重启Apache服务程序： [root@linuxprobe ~]# systemctl restart httpd 第2步:创建个人用户网站数据。 切换至普通会员linuxprobe的家目录：