RedHat SELinux系统简介及案例分析

一、SELinux简介 RedHat Enterprise Linux AS 3.0/4.0中安全方面的最大变化就在于集成了SELinux的支持。 SELinux的全称是Security-Enhanced Linux，是由美国国家安全局NSA开发的访问控制体制。 SELinux可以最大限度地保证Linux系统的安全。至于它的作用到底有多大，举一个简单的例子可以证明： 没有SELinux保护的Linux的安全级别和Windows一样，是C2级，但经过保护SELinux保护的Linux，安全级别 则可以达到B1级。如：我们把/tmp目录下的所有文件和目录权限设置为0777，这样在没有SELinux保护的情 况下，任何人都可以访问/tmp 下的内容。而在SELinux环境下，尽管目录权限允许你访问/tmp下的内容， 但SELinux的安全策略会继续检查你是否可以访问。 NSA推出的SELinux安全体系结构称为 Flask，在这一结构中，安全性策略的逻辑和通用接口一起封装在与 操作系统独立的组件中，这个单独的组件称为安全服务器。SELinux的安全服务器定义了一种混合的安全性 策略，由类型实施 (TE)、基于角色的访问控制 (RBAC) 和多级安全(MLS) 组成。通过替换安全服务器，可 以支持不同的安全策略。SELinux使用策略配置语言定义安全策略，然后通过checkpolicy 编译成二进制形 式，存储在文件(如目标策略/etc/selinux/targeted/policy/policy.18)中，在内核引导时读到内核空间 。这意味着安全性策略在每次系统引导时都会有所不同。 SELinux的策略分为两种，一个是目标(targeted)策略，另一个是严格(strict)策略。有限策略仅针对部分 系统网络服务和进程执行SELinux策略，而严厉策略是执行全局的NSA默认策略。有限策略模式下，9个（可 能更多）系统服务受SELinux监控，几乎所有的网络服务都受控。 配置文件是/etc/selinux/config，一般测试过程中使用“permissive”模式，这样仅会在违反SELinux规 则时发出警告，然后修改规则，最后由用户觉得是否执行严格“enforcing”的策略，禁止违反规则策略的 行为。 规则决定SELinux的工作行为和方式，策略决定具体的安全细节如文件系统，文件一致性。 在安装过程中，可以选择“激活”、“警告”或者“关闭”SELinux。默认设置为“激活”。 安装之后，可以在“应用程序”–>“系统设置”–>“安全级别”，或者直接在控制台窗口输入“system -config- securitylevel”来打开“安全级别”设置窗口。在“SELinux”选项页中，我们不但可以设置“ 启用”或者“禁用”SELinux，而且还可以对已经内置的SELinux策略进行修改。 SELinux相关命令： ls -Z ps -Z id -Z 分别可以看到文件,进程和用户的SELinux属性。 chcon 改变文件的SELinux属性。 getenforce/setenforce查看和设置SELinux的当前工作模式。 修改配置文件/etc/selinux/config后，需要重启系统来启动SELinux新的工作模式。 二、案例分析 Apache – “Document root [...]

samba3 + clamav (Samba在线杀毒)

1.安装Samba 3 　　 # cd /usr/ports/net/samba3 　　# make install clean 　　安装完samba,请设置/usr/local/etc/smb.conf.并在/etc/rc.conf加入一句使Samba随系统一起启动. 　　 samba_enable=”YES” 　　2.安装clamav 　　 # cd /usr/ports/security/clamav 　　# make install clean 　　手动更新病毒库到默认路径 　　 # freshclam 　　在/etc/rc.conf加一句让Clamav随系统一起启动. 　　 clamav_clamd_enable=”YES” 　　clamav_freshclam_enable=”YES” # 定时更新病毒库 　　3.安装samba-vscan 　　 # cd /usr/ports/security/samba-vscan 　　# make install clean 　　在/usr/local/etc/smb.conf的[global]加入 　　 vfs object = vscan-clamav 　　vscan-clamav: config-file = /usr/local/etc/samba-vscan/vscan-clamav.conf 　　附简单的smb.conf 　　 # Samba [...]

Samba安装实例

安装RedHat了。 装好系统到第一个硬盘。 然后用ps -x 看一下服务的进程。 fdisk -l 看一下硬盘的分区。 fdisk /dev/sdb 给第二个硬盘分区。 mkfs -t ext3 -c /dev/sdb1 格式化第二个硬盘。 mount /dev/sdb1 /mnt/smbdisk 加载第二个硬盘做smbdisk。 smbpasswd -a henry henrypwd 添加smb用户henry，密码是henrypwd [root@localhost root]# fdisk -l Disk /dev/sda: 36.4 GB, 36418093056 bytes 255 heads, 63 sectors/track, 4427 cylinders Units = cylinders of 16065 * 512 = 8225280 bytes Device Boot Start [...]

Samba服务配置与应用案例

一，Samba的简单介绍[/b:be313e1499] 1.Samba的作用： 它能够使windows用户通过”网上邻居”，等熟悉的方式直接访问Linux上的资源，也能使linux利用SMB客户端程序访问Windows的共享资源。 2.SMB协议简介: SMB(Server Message Block,服务信息块)，看作是局域网上的共享文件夹/打印机的一种协议. 3.Samba服务的简介: Samba属于GNU Public License (GPL)软件，任何用户都可以合法且免费的使用他可以到其官方网站http://www.samba.org 下载. Samba的主要功能: 1,提供windows风格的文件和打印机共享。 2,在Windows网络中解析NetBios的名字 3,提供SMB客户端，linux用户可以利用smbclient利用类似于ftp的形式访问windows资源. 4, 提供命令行工具，利用该工具可以有限制地支持windows的某些管理功能. [b9] 二，Samba的安装[/b9] 1.Samba服务的安装: [root@www ~]# rpm -qa |grep samba //查看是否安装软件，我已经安装好啦. samba-common-3.0.10-1.4E.2 samba-client-3.0.10-1.4E.2 system-config-samba-1.2.21-1 samba-3.0.10-1.4E.2 2.rpm -ivh ….//如果没有安装将以上套件包安装上. 三，Samba服务配置[/b:be313e1499] 1.查看共享服务需要打开的端口 [root@www ~]# cat /etc/services | grep netbios [code:be313e1499] netbios-ns 137/tcp # NETBIOS Name Service netbios-ns 137/udp netbios-dgm [...]

vi 使用手册

进入vi的命令 vi filename :打开或新建文件，并将光标置于第一行首 vi +n filename ：打开文件，并将光标置于第n行首 vi + filename ：打开文件，并将光标置于最后一行首 vi +/pattern filename：打开文件，并将光标置于第一个与pattern匹配的串处 vi -r filename ：在上次正用vi编辑时发生系统崩溃，恢复filename vi filename….filename ：打开多个文件，依次编辑 移动光标类命令 h ：光标左移一个字符 l ：光标右移一个字符 space：光标右移一个字符 Backspace：光标左移一个字符 k或Ctrl+p：光标上移一行 j或Ctrl+n ：光标下移一行 Enter ：光标下移一行 w或W ：光标右移一个字至字首 b或B ：光标左移一个字至字首 e或E ：光标右移一个字j至字尾 ) ：光标移至句尾 ( ：光标移至句首 }：光标移至段落开头 {：光标移至段落结尾 nG：光标移至第n行首 n+：光标下移n行 n-：光标上移n行 n$：光标移至第n行尾 H ：光标移至屏幕顶行 M ：光标移至屏幕中间行 L [...]

vi的使用之汇总

功能最强在的编辑器——VI vi是所有UNIX系统都会提供的屏幕编辑器，它提供了一个视窗设备，通过它可以编辑文件。当然，对UNIX系统略有所知的人，或多或少都觉得vi超级难用，但vi是最基本的编辑器，所以希望读者能好好把它学起来，以后在UNIX世界里必将畅行无阻、游刃有余，因为其他几种文本处理器并非UNIX标准配备。说不定别人的Linux机器没安装joe或pico，如果您不会vi，那您可能就没辄了。 vi的基本概念 基本上vi可分为三种操作状态，分别是命令模式（Command mode）、插入模式（Insert mode）和底线命令模式（Last line mode），各模式的功能区分如下： 1． Comand mode：控制屏幕光标的移动，字符或光标的删除，移动复制某区段及进入Insert mode下，或者到Last line mode。 2． Insert mode：唯有在Insert mode下，才可做文字数据输入，按Esc等可回到Comand mode。 3． Last line mode：将储存文件或离开编辑器，也可设置编辑环境，如寻找字符串、列出行号等。 不过可以把vi简化成两个模式，即是将Last line mode也算入Command mode,把vi分成Command 和Insert mode。 vi的基本操作 ?进入vi 在系统提示符号输入vi及文件名称后，即可进入vi全屏幕编辑画面： $ vi testfile 有一点要特别注意，就是您进入vi之后是处于“Command mode”下，您要切换到Insert mode才能输入文字。初次用vi的用户都会想先用上下左右键移动光标，结果电脑一直叫，把自己气个半死，所以进入vi后，先不要乱动，转换入Insert后再说。 ?切换至Insert mode编辑文件 在Command mode下按‘i’、‘a’或‘o’三键就可进入Insert mode。这时候您就可以开始输入文字了。 i: 插入，从目前光标所在之处插入所输入的文字。 a: 增加，目前光标所在的下一个字开始输入文字。 o: 插入新的一行，从行首开始输入文字。 ?Insert的切换→Command mode，按Esc键 您目前处于Insert mode，您就只能一直打字。假如您发现打错字了，想用光标键往回移动，将该字删除，就要按ESC键转换回Command mode，再删除文字。 ?离开vi及存文件 [...]

用 Linux做文件服务器

1.1 Samba简介 给Windows客户提供文件服务是通过samba实现的，凡架设过MS Windows网络的人都知道MS Windows网络的核心是SMB/CIFS，而samba也是一套基于UNIX类系统、实现SMB/CIFS协议的软件，作为UNIX的克隆，Linux也可以运行这套软件。和NT相比较，samba的文件服务功能一点也不亚于NT，效率很高，借助Linux本身，可以实现用户磁盘空间限制功能，NT到4.0版本还是无法实现这点，samba由samba小组（http;//samba.org）开发，更新速度很快，目前最高的版本是2.0.7版，是2000年4月25日发布的，每个更新版本在功能上都所增强，也修复了已知的BUG。本章所涉及到的技术内容以2.0.3版蓝本。目前各种Linux发布大都包含这套软件，如果你的Linux发布是Read Hat，则是以RPM形式提供，可以在安装Linux的时候选择这个软件，也可以单独安装，以root身份。 rpm -i samba-2.0.3-8.i386.rpm，就可以了。 如果你的Linux发布没有包含这个软件，可以从ftp;//samba.org/pub/samba去下载。另外，您的Linux的核心要支持smbfs，一般各种发布已经把smbfs的支持包含进去，如果没有包含的话，就要重新编译核心，获得smbfs支持，具体如何编译核心请参阅相关文章。 由于本章的内容是基于文件服务器， 重点介绍samba在文件服务器上的应用。目前samba还不能完全代替Windows NT，尤其是把samba设置成PDC，最好不要这样做，NT PDC非常复杂，samba还只能实现其中一部分功能。希望未来的版本可以做到。 这套软件由一系列的组件构成，主要的组件有 smbd SMB服务器，给SMB客户提供文件和打印服务 nmbd, Netbios 名称服务器,提供Netbios名称服务和浏览支持，帮助SMB客户定位服务器 smbclient, SMB客户程序，用来存取SMB服务器上的共享资源。 testprns 测试服务器上打印机访问的程序 testparms 测试Samba配置文件的正确性的工具。 smb.conf samba的配置文件。 smbstatus 这个工具可以列出当前smbd服务器上的连接。 make_smbcodepage 这个工具用来生成文件系统的代码页 smbpasswd 这个工具用来设定用户密码。 swat samba的Web管理工具。 1.2 如何配置samba 实际上，samba安装完后，只要把/etc/smb.conf这个文件里的workgroup=XXXXX这个参数该为您的工作组，启动samba就可以运行了，但这根本不能符合我们的需要。samba的配置都是围绕smb.conf来进行的，配置方式有很多种，如果熟练的话可以手工编辑这个文件，也可以通过linuxconf来配置，而且samba本身带了一个基于web的管理工具swat，使用901端口，安装完samba后，它会在您机器的/etc/services的尾部加上一条 swat 901/tcp workgroup = WORKGROUP server string = Samba Server hosts allow = 192.168.1. 192.168.2. 127. [...]

使用批处理轻松备份firefox设置

您的 Firefox 浏览器 配置文件包括一些很重要的东西，如果重新安装系统,保存的密码和选项设置,书签,就会丢失,会很不方便。与任何有价值的数据一样,您的 Firefox 配置文件应定期备份。

使用批处理脚本:

Windows 7 系统资源修改对应文件

我们将要提到在 Windows 7一些系统文件，可进行修改，以改变Windows的各种成分如登录屏幕看，对话框，菜单等

几乎所有的Windows 7系统图标-> %windir%\System32\imageres.dll

登录屏幕背景 -> %windir%\System32\imageres.dll

登录屏幕图像资源 -> %windir%\System32\authui.dll

启动声音 -> %windir%\System32\imageres.dll

启动ORB的图像 -> %windir%\Explorer.exe -> Bitmap -> 6801 – 6812

Windows版本图像在“关于Windows”对话框 -> %windir%\Branding\Basebrd\basebrd.dll

Windows版本图像在登录屏幕底部 -> %windir%\Branding\Basebrd\basebrd.dll

控制面板左侧侧边栏的图像 -> %windir%\System32\Shell32.dll -> Bitmap -> 632 & 633

入门（又名欢迎中心）照片 -> %windir%\System32\oobefldr.dll

笔记本电脑电池指示器图像资源 -> %windir%\System32\batmeter.dll

Internet Explorer 8（IE8）资源 -> %windir%\System32\ieframe.dll

Windows媒体播放器12（WMP12）资源 -> %windir%\System32\wmploc.dll

Windows XP 系统文件资源修改Resource Hacker列表

下面是Windows XP系统文件，可以使用Resource Hacker改变它们的外观名单列表：

%windir%\System32\NToskrnl.exe : 要更改Windows启动屏幕

%windir%\System32\Logonui.exe :要更改Windows登录屏幕

%windir%\System32\MSgina.dll : 要改变关机对话框中的文本和背景

%windir%\System32\Shell32.dll : 要改变很多东西，比如进度对话框（复制，删除等），运行对话框中，上下文菜单项，和许多其他的东西

%windir%\System32\Netshell.dll : 为了改变互联网闪烁图标在系统托盘

%windir%\System32\Comdlg32.dll : 要改变打开查看/保存对话框，彩盒，印刷盒，查找和替换盒等

%windir%\System32\Comctl32.dll : 要更改图标上层开放右侧出现/保存对话框。

%windir%\System32\Stobject.dll : 要改变音量图标和其他一些在系统托盘图标

%windir%\System32\mydocs.dll : 要改变我的文档图标

%windir%\System32\shdocvw.dll : 要更改的Internet Explorer 6的图标和图形

%windir%\System32\IEFrame.dll : 要更改Internet Explorer 7的图标和图形

%windir%\System32\shimgvw.dll : 要更改图片文件的图标，即，BMP和JPG格式，JPEG格式，GIF和等

%windir%\System32\Sysdm.cpl : 若要更改系统属性窗口的外观

%windir%\System32\Winlogon.exe :要更改文本，如应用用户设置，您在登录屏幕看到，注销，关闭等

%windir%\Explorer.exe : 要更改开始按钮的文本，程序菜单文本（如程序，收藏夹，文件等）

%windir%\System32\browselc.dll : 若要更改Windows资源管理器菜单名字，以及Internet Explorer

I386\Winntbbu.dll : 要更改XP安装程序的外观和文字项目