作者 主題: RHCE與SELinux  (閱讀 12989 次)

0 會員 與 1 訪客 正在閱讀本文。

jaymsa

  • 活潑的大學生
  • ***
  • 文章數: 409
  • 性別: 男
    • 檢視個人資料
    • Jay's Blog
RHCE與SELinux
« 於: 2008-12-29 17:43 »
昨天去考RHCE,有考過的應該都知道下午,考題要開SELinux,小弟也照開了,不過各個服務必須另外下指令才不會被SELiunx擋住,因為小弟有灌XWindow,如果各位有注意的話,在XWindow有一個SELinux的工具叫SELinux trobleshooter,他會提示說要輸入什麼指令,小弟剛好在測試Samba,
他提示說touch /.auto..lab(檔名我比較記得auto後面就忘了);reboot ,小弟看了一下想說touch一個新檔與reboot應該沒什麼問題,然後就照做,在Shutdown系統時我就發現有類似字樣SELinux......[Failed],沒特別想什麼,但悲劇發生了.....重開後就進入Sulogin(感覺又回到上午的trobleshooting),也是出現一堆SELinux....錯誤這樣的訊息,最後不知道怎麼辦,我只好進Sulogin把SELinux關掉,還好可以重開機,不過也因此下午我都沒開SELinux.
請問各位前輩有遇過這樣的問題嗎?我確定我沒動到檔案系統!!我只執行這行就變這樣了.... ???
想瞭解是什麼情況會產生像這個樣子?
Linux真好玩...博大精深!!
RHCE,ISO27001,ISO20000
http://jayclub.no-ip.org/jayblog

weider

  • 憂鬱的高中生
  • ***
  • 文章數: 91
  • 阿彌陀佛!
    • 檢視個人資料
    • 獄卒的世界
回覆: RHCE與SELinux
« 回覆 #1 於: 2009-02-04 16:41 »
在這裡分享一下我對SELINUX的心得吧!
您說的對各個服務必須另外下指令才不會被SELINUX擋住,我想您指的應該是setsebool -P XXXXXXXXXX 1 之類的吧!
關於這個指令,我舉個例子,像如果在SELINUX有開啟的狀態下,如果APACHE有設定虛擬主機,可能虛擬主機的設定會起不來~
就是因為SELINUX有限制的關係,而網路上很多文章,包括我以前在碰FC4時也是跟人家說要下setsebool -P httpd_disable_trans 1
然後再重啟APACHE就好了~
然而這個指令的意思是"關掉SELINUX對APACHE的管控"的意思~
如果在考RHCE,恐怕也是過不了吧!(我猜的)
所以變成沒辦法直接下這個指令來混過去~
那麼哪裡可以去找SELINUX的參數呢?
可以用getsebool -a
然後用grep來根據每個服務名稱或程序名稱來選擇~
再來就是針對所得到的參數來一個一個試~
setsebool這個指令,加-P的意思是"永久性的關閉";沒有加這個參數就表示只是暫時關閉,當重開機之後即恢復SELINUX的管控~

如果對每個參數的作用不了解,可以試著用man 服務或程序名稱_selinux來查詢
當然如果沒有訊息,就表示得自己去試囉!!

SELINUX並沒有那麼可怕的!!

加油!!
班長說:有一個壞消息跟一個好消息
壞消息是今天要做出三千個沙包,
好消息是這裡沙很多~

jaymsa

  • 活潑的大學生
  • ***
  • 文章數: 409
  • 性別: 男
    • 檢視個人資料
    • Jay's Blog
回覆: RHCE與SELinux
« 回覆 #2 於: 2009-02-04 17:06 »
在這裡分享一下我對SELINUX的心得吧!
您說的對各個服務必須另外下指令才不會被SELINUX擋住,我想您指的應該是setsebool -P XXXXXXXXXX 1 之類的吧!
關於這個指令,我舉個例子,像如果在SELINUX有開啟的狀態下,如果APACHE有設定虛擬主機,可能虛擬主機的設定會起不來~
就是因為SELINUX有限制的關係,而網路上很多文章,包括我以前在碰FC4時也是跟人家說要下setsebool -P httpd_disable_trans 1
然後再重啟APACHE就好了~
然而這個指令的意思是"關掉SELINUX對APACHE的管控"的意思~
如果在考RHCE,恐怕也是過不了吧!(我猜的)
所以變成沒辦法直接下這個指令來混過去~
那麼哪裡可以去找SELINUX的參數呢?
可以用getsebool -a
然後用grep來根據每個服務名稱或程序名稱來選擇~
再來就是針對所得到的參數來一個一個試~
setsebool這個指令,加-P的意思是"永久性的關閉";沒有加這個參數就表示只是暫時關閉,當重開機之後即恢復SELINUX的管控~

如果對每個參數的作用不了解,可以試著用man 服務或程序名稱_selinux來查詢
當然如果沒有訊息,就表示得自己去試囉!!

SELINUX並沒有那麼可怕的!!

加油!!
對阿...就是類似那樣的指令!!
那時候也只知道照提示設定,也不知道真正意義,而且是在Xwindow下作業,到了Console就不知道怎麼辦了!!
感謝您...了解一點點了!!但是不關掉又該怎麼設定?
Linux真好玩...博大精深!!
RHCE,ISO27001,ISO20000
http://jayclub.no-ip.org/jayblog

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
回覆: RHCE與SELinux
« 回覆 #3 於: 2009-02-04 19:26 »

selinux 沒有這樣可怕啦
只是需要了解與熟悉的東西稍微多一點

這邊有簡單兩份文件可以參考
一份是台南之前 selinux 活動的文件
另一分是類似講解課程參考文件
也許可以給你參考

http://kenduest.sayya.org/blog/?p=113
I am kenduest - 小州

my website: http://kenduest.sayya.org/

jaymsa

  • 活潑的大學生
  • ***
  • 文章數: 409
  • 性別: 男
    • 檢視個人資料
    • Jay's Blog
回覆: RHCE與SELinux
« 回覆 #4 於: 2009-04-08 11:26 »

selinux 沒有這樣可怕啦
只是需要瞭解與熟悉的東西稍微多一點

這邊有簡單兩份文件可以參考
一份是台南之前 selinux 活動的文件
另一分是類似講解課程參考文件
也許可以給你參考

http://kenduest.sayya.org/blog/?p=113

感覺上限制很多....而且一用不好,就完全沒辦法正常使用XD
不知道各位前輩已經有在正式機器上使用了嗎?
Linux真好玩...博大精深!!
RHCE,ISO27001,ISO20000
http://jayclub.no-ip.org/jayblog

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
回覆: RHCE與SELinux
« 回覆 #5 於: 2009-04-10 01:51 »

我一堆機器都正式使用
商業的 server

至少一年了
I am kenduest - 小州

my website: http://kenduest.sayya.org/

jaymsa

  • 活潑的大學生
  • ***
  • 文章數: 409
  • 性別: 男
    • 檢視個人資料
    • Jay's Blog
回覆: RHCE與SELinux
« 回覆 #6 於: 2009-04-16 11:00 »

我一堆機器都正式使用
商業的 server

至少一年了
哇...學長真厲害!!
之前聽說很多管理員嫌麻煩,也不會設定就將SELinux關閉(Me too)....XD
會遇到很多問題嗎?
例如Apache不能連,Samba不能連,Email收發問題?
Linux真好玩...博大精深!!
RHCE,ISO27001,ISO20000
http://jayclub.no-ip.org/jayblog

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
回覆: RHCE與SELinux
« 回覆 #7 於: 2009-04-16 22:28 »

有這樣誇張嗎

建議你裝好體會後再說吧
呵呵
I am kenduest - 小州

my website: http://kenduest.sayya.org/

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17393
    • 檢視個人資料
    • http://www.study-area.org
回覆: RHCE與SELinux
« 回覆 #8 於: 2009-04-17 08:48 »
越是之前的版本,policy 不夠完整,麻煩比較多。
越是新的版本,越好用。

jaymsa

  • 活潑的大學生
  • ***
  • 文章數: 409
  • 性別: 男
    • 檢視個人資料
    • Jay's Blog
回覆: RHCE與SELinux
« 回覆 #9 於: 2009-04-21 09:41 »

有這樣誇張嗎

建議你裝好體會後再說吧
呵呵
哈哈...小弟記得之前設定是這樣!!
那時候SELinux剛出的時候我還很菜(雖然現在也是XD),安裝好Apache怎麼連就是不能連,想說以前這樣裝就可以阿,Google找了才知道SELinux不過還是不知道是幹嘛的XD....
後來上課就有裝XWindow,老師就說反正有跳出啥訊息照著輸入就可以了XD....只之其一不知其二阿!!
我想如同NetMan前輩說的,後面的版本可能更加方便!!期待中~~
Linux真好玩...博大精深!!
RHCE,ISO27001,ISO20000
http://jayclub.no-ip.org/jayblog