搭建web伺服器的SElinux策略保護SElinux修改預設埠安全web服務

 搭建web伺服器的SElinux策略保護

方式：參照標準目錄，重設新目錄的屬性。
 chcon  -R  --reference=標準目錄   新目錄
安全上下文（標籤）

例： chcon -R –reference=/var/www/ /webroot

使用自定web更目錄

1.修改配置檔案/etc/httpd/conf.d/haha.conf

<virtualHost *:80>

DocumentRoot /webroot 

ServerName www.baidu.com

</virtualHost>

2.建立目錄與網頁檔案

mkdir /webroot

echo 我的網頁 >/webroot/index.html

3.修改訪問控制配置檔案，/etc/httpd/conf.d/haha.conf

<Directory “/webroot”>

Require all granted

</Directory>

4.修改SElinux標籤值

chcon -R -reference=/var/www /webroot

5.重啟服務httpd

6.檢測

   SElinux修改預設埠
         semanage  port  -l |grep httpd  檢視允許埠
    semanage  port  -a  -t  http _port _t  -p  tcp 8909(新增8909埠) 
    semanage  port  -d -t  http _port _t  -p  tcp 8909(刪除8909埠) 

      安全web服務
 安全的超文字協議https埠號為:443
 PKI公鑰基礎設施
 public  key  infrastructre  公鑰基礎設施
 公鑰:主要用來加密資料

 私鑰：只要用來解釋資料（與相應的公鑰匹配）

 數字證書：證明擁有者的合法性/權威性

 Certificate Authority 數字證書授權中心：

 負責證書的申請/稽核/頒發/鑑定/撤銷等管理工作。 

 HTTPS加密web通訊（TCP 443埠）

 Secure Sockets Layer     安全套接字層

 Transport Layer Security 安全傳輸協議 

 實現條件：
1.啟用SSL模組支援
2.部署好加密素材：網站伺服器的數字證書、網站伺服器的私鑰。
3.根證書（CA管理機構的證書）

 步驟：
1.安裝mod_ssl軟體包

2.部署網站的證書
  cd /etc/pki/tls/certs
  wget http://192.168.4.254/pub/tls/certs/www.crt

3.部署網站的根證書
  cd /etc/pki/tls/certs
  wget http://192.168.4.254/pub/baidu-ca.crt

4.部署私鑰（用於解密）
  cd /etc/pki/tls/private
  wget http://192.168.4.254/pub/tls/private/www.key

5.修改配置檔案/etc/httpd/conf.d/ssl.conf
   <VirtualHost_default_:443>
    DocumentRoot /webroot
    ServerName  www.baidu.com:443
    SSLcertificateFile  /etc/pki/tls/certs/www.crt
    SSLcertificateFile  /etc/pki/tls/private/www.crt
    SSLcertificateFile  /etc/pki/tls/certs/baidu-ca.crt

6.檢測

firefox https://www.baidu.com







本文轉自夜流璃雨 51CTO部落格，原文連結：http://blog.51cto.com/13399294/2044283，如需轉載請自行聯絡原作者