设置 SELinux 策略配置文件
注意:由于实验楼的挑战只能够在容器环境运行,而容器环境又不可以执行 SELinux,所以这个脚本在挑战的环境中无法运行,只能在实验环境中调试成功后拷贝到当前挑战环境的 /home/shiyanlou/setse.sh,再点击提交。同样,由于挑战环境的限制,无法真实运行脚本,会存在检测不完全的地方,请在上一节实验中的 CentOS 7 的环境中测试完善。
介绍
需要为我们的服务器开发一个 bash 脚本,用来设置 SELinux,让系统的安全能够符合需求,这个 bash 脚本的需求如下:
- 设置系统中的 SELinux 为 Enforcing 模式,同时让该模式在系统重启后仍然能够保持
- 安装并激活 setroubleshooted,让 SELinux 的日志导入到 /var/log/message
- 创建目录 /home/shiyanlou/website,设置该目录的所属用户和所属组与 /var/www/html 目录相同,同时设置该目录的安全上下文中的 user:role:type 与 /var/www/html 完全相同。
- 创建空文件 /home/shiyanlou/config,设置该文件的安全上下文中的 type 为 httpd_sys_content_t。
目标
- 完成后的脚本放置在 /home/shiyanlou/setse.sh
- 脚本需要符合上述的 SELinux 安全策略需求
- 在 CentOS 7 的环境中使用 sudo 执行脚本后可以完成相应的策略设置
知识点
- SELinux 基本设置方法
- setenforce
- /etc/selinux/config
- setroubleshooted
- SELinux 日志文件
- chcon 设置文件及目录的安全上下文