Tag op selinux

Wat is er nieuw in Redhat 7 [update-2]

Door inLinux systeemmanagement, Tips & trucs Tag , , , , , , , , ,

Netwerk

Nieuw is nmcli en nmtui command waarmee je nu je netwerkconfiguratie regelt. 

Een paar voorbeelden:

  • nmcli con show : toont de connectie status van de netwerkinterfaces
  • nmcli con show <device> : toont gedetailleerde info van <device>
  • nmcli con add con-nam <name> ifname <device> autoconnect <on | off>  type ethernet ip4 192.168.1.10/24 gw 192.168.1.254 : Dit brengt maakt voor <name> een configuratiebestand aan voor <device> waarbij het type v/d interface ethernet is, er gekozen kan worden op deze tijdens het opstarten autoconnected is (moet worden geactiveeerd) en de bijbhorende ipv4 configuratie.
  • nmcli con mod <name> + ipv4.dns 8.8.8.8 : voegt aan de bestaande configuratie <name> een ipv4 dns met adres 8.8.8.8 toe. 
  • nmcli con up <name> : brengt interface met de naam <name> up 
  • hostname-ctl status : geeft overzicht van de hostname configuratie
  • hostname-ctl set-hostname <fqdn> : set de hostname (fqdn) in 

Overigens wordt de configuratie van de netwerk interface wel gewoon in /etc/sysconfig/network-scripts opgeslagen.

Logging

Hoewel logging 'gewoon' via rsyslog kan lopen en het nieuwe journald geen 1 op 1 vervanging is wordt bijv. bij een minimale installatie rsyslog niet standaard geinstalleerd en zal je met journalctl aan de gang moeten. De logging met journald is gaat verloren na een reboot en wordt weggeschreven in /run/log/journal.

journald logging permanent maken

  • Maak een directory /var/log/journal aan: mkdir /var/log/journal
  • Zet de rechten goed : chown root:systemd-journal /var/log/journal en geef daarna chmod 2755 /var/log/journal
  • Zorg ervoor dat journald de nieuwe directory ziet : killall -USR1 systemd-journald

Het uitlezen v/d logging gaat dan middels journalctl -b

journald voorbeelden

  • journalctl -f : toont de laatste regels van het log en vult aan als er nieuwe items bijkomen (vergelijkbaar met een tail -f)
  • journalctl -nxx : toont de laatste xx regels
  • journnactl –since yesterday -p err : toont vanaf gisteren alleen de error logregels
  • journalctl _SYSTEMD_UNIT=sshd.service : toont alleen de sshd gerelateerde logregels
  • journalct -o verbose : geeft extra veel info over de logregels

Wachtwoord van root kwijt / verloren

In RedHat 7 kan je het root wachtwoord op de volgende manier wijzigen als je het vergeten / kwijt bent: 

  • reboot de server
  • in het bootmenu druk op e (edit) en voeg aan de regel die begint met linux16 aan het einde toe: rd.break
  • boot de server daarna verder vanuit het bootmenu met Ctrl-X
  • op de prompt geef mount -orw,remount /sysroot 
  • geef chroot /sysroot
  • wijzig het root wachtwoord met passwd root
  • indien SELINUX enforced is geef load_policy -i en daarna touch /.autorelabel
  • reboot de server

 

 

SELinux tips

Door inSecurity, SELinux, Tips & trucs Tag , , , , , ,

andere locatie voor webpagina's

Als SELINUX in enforced mode draait dan kunnen homepage's van gebruikers op een andere locatie dan de standaardlocatie een error 403 Forbinnden opleveren. In dat geval moet die directory, in dit voorbeeld ~/public_html de juiste context meekrijgen. Dat kan worden gedaan door:

 chcon -R -t httpd_user_content_t public_html/

Met ls -Z -d ~/public_html kan de context worden bekeken:

Voor de wijziging:

 drwxrwxr-x auser auser user_u:object_r:user_home_t public_html

en na de wijziging:

  1. rw-rw-r

Mocht er hierna nog foutmeldingen komen dan kan het nodig zijn om

setsebool -P httpd_enable_homedirs true

te geven.

 

website's voor Apache in een andere directory

Maak een directory aan voor de websites, bijvoorbeel /virtual_hosts met mkdir /virtual_hosts. Als SELINUX draait zullen websites die daar draaien niet opgeroepen kunnen worden en zal Apache een Access Denied melding geven. Dat kan op de volgende manier worden opgelost:

semanage fcontext -a -t httpd_sys_content_t '/virtual_hosts(/.*)?'
restonecon -RFvv /virtual_hosts

Controleer met ls -Zd /virtual_hosts of de content nu goed staat.

samba

Om samba met SELINUX enabled te draaien als domain controller wordt het volgende commando gegeven:

 setsebool -P samba_domain_controller on

Om homedir's in samba te kunnen sharen:

 setsebool -P samba_enable_home_dirs on

Als een nieuwe directory wordt gemaakt als top-level voor een nieuwe share:

 chcon -t samba_share_t /path/to/directory

Use the

samba_export_all_ro

of

samba_export_all_rw

Boolean to share system directories. To share such directories and only allow read-only permissions:

 setsebool -P samba_export_all_ro on

To share such directories and allow read and write permissions:

 setsebool -P samba_export_all_rw on

toegang tot een bepaalde poort

 semanage port -a -t http_port_t -p tcp 8181