过程 3.5. 配置 sudo 转换

1. 创建一个新的 SELinux 用户，并为这个用户指定默认 SELinux 角色和一个补充的受限管理员角色：

   ~]# semanage user -a -r s0-s0:c0.c1023 -R "default_role_r administrator_r" SELinux_user_u

2. 设置默认的 SElinux 策略上下文文件。例如，若要与 staff_u SELinux 用户使用相同的 SELinux 规则，请复制 staff_u 上下文文件：

   ~]# cp /etc/selinux/targeted/contexts/users/staff_u /etc/selinux/targeted/contexts/users/SELinux_user_u

3. 将新创建的 SELinux 用户映射到现有 Linux 用户：

   semanage login -a -s SELinux_user_u -rs0:c0.c1023 linux_user

4. 在 /etc/sudoers.d/ 目录中，使用与您的 Linux 用户相同的名称创建新配置文件，并将以下字符串添加到其中：

   ~]# echo "linux_user ALL=(ALL) TYPE=administrator_t ROLE=administrator_r /bin/bash " > /etc/sudoers.d/linux_user

5. 使用 restorecon 工具重新标记 linux_user 主目录：

   ~]# restorecon -FR -v /home/linux_user

6. 以新创建的 Linux 用户身份登录到该系统，检查用户是否标记了默认的 SELinux 角色：

   ~]$ id -Z
   SELinux_user_u:default_role_r:SELinux_user_t:s0:c0.c1023

7. 运行 sudo 将用户的 SELinux 上下文更改为 /etc/sudoers.d/linux_user 中指定的辅助 SELinux 角色。与 sudo 一起使用的 -i 选项会导致执行交互式 shell：

   ~]$ sudo -i
   ~]# id -Z
   SELinux_user_u:administrator_r:administrator_t:s0:c0.c1023

1. 以 permissive 模式启用 SELinux。如需更多信息，请参阅 第 4.4.1.1 节 “Permissive 模式”。
2. 重启您的系统。
3. 检查 SELinux 拒绝信息。如需更多信息，请参阅 第 11.3.5 节 “搜索和查看地址”。
4. 如果没有拒绝的操作，切换到 enforcing 模式。如需更多信息，请参阅 第 4.4.1.2 节 “强制模式”。

过程 4.4. 禁用 SELinux

1. 在 /etc/selinux/config 文件中配置 SELINUX=disabled ：

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=disabled
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=targeted

2. 重启您的系统。重启后，确认 getenforce 命令返回 Disabled:

   ~]$ getenforce
   Disabled

过程 4.5. 配置布尔值

1. 默认情况下，httpd _can_network_connect_db 布尔值是 off，阻止 Apache HTTP 服务器脚本和模块连接到数据库服务器：

   ~]$ getsebool httpd_can_network_connect_db
   httpd_can_network_connect_db --> off
   

2. 要临时启用 Apache HTTP 服务器脚本和模块来连接到数据库服务器，以 root 用户身份输入以下命令：

   ~]# setsebool httpd_can_network_connect_db on

3. 使用 getsebool 工具验证该布尔值是否已启用：

   ~]$ getsebool httpd_can_network_connect_db
   httpd_can_network_connect_db --> on
   

   这允许 Apache HTTP 服务器脚本和模块连接到数据库服务器。
4. 此更改在重新启动后不会保留。要在重启后保留更改，以 root 用户身份在命令 中运行 setsebool -P boolean-name :^[3]

   ~]# setsebool -P httpd_can_network_connect_db on

过程 4.6. 更改文件或目录的类型

1. 更改到您的主目录。
2. 创建新文件并查看其 SELinux 上下文：

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

   在本例中，file 1 的 SELinux 上下文包括 SELinux unconfined_u 用户、object _r 角色、user_home_t 类型和 s0 级别。有关 SELinux 上下文的每个部分的描述，请参阅 第 2 章 SELinux Contexts。
3. 输入以下命令将类型更改为 samba_share_t。t 选项仅更改类型。然后查看更改：

   ~]$ chcon -t samba_share_t file1

   ~]$ ls -Z file1 
   -rw-rw-r--  user1 group1 unconfined_u:object_r:samba_share_t:s0 file1
   

4. 使用以下命令恢复 file1 文件的 SELinux 上下文。使用 -v 选项查看哪些更改：

   ~]$ restorecon -v file1
   restorecon reset file1 context unconfined_u:object_r:samba_share_t:s0->system_u:object_r:user_home_t:s0
   

   在本例中，上一类型 samba_share_t 已恢复到正确的 user_home_t 类型。使用目标策略（Red Hat Enterprise Linux 中的默认 SELinux 策略）时，restorecon 命令读取 /etc/selinux/targeted/contexts/files/ 目录中的文件，以查看应具有哪些 SELinux 上下文文件。

过程 4.7. 更改目录及其内容类型

1. 以 root 用户身份，在此目录中创建一个新的 Web/ 目录，再创建 3 个空文件（file1、file2 和 file3）。其中包含的 web/ 目录和文件使用 default_t 类型标记：

   ~]# mkdir /web

   ~]# touch /web/file{1,2,3}

   ~]# ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]# ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

2. 以 root 用户身份，输入以下命令将 web/ 目录（及其内容）的类型改为 httpd_sys_content_t ：

   ~]# chcon -R -t httpd_sys_content_t /web/

   ~]# ls -dZ /web/
   drwxr-xr-x  root root unconfined_u:object_r:httpd_sys_content_t:s0 /web/
   

   ~]# ls -lZ /web/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

3. 要恢复默认 SELinux 上下文，以 root 用户身份使用 restorecon 工具程序：

   ~]# restorecon -R -v /web/
   restorecon reset /web context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file2 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file3 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   restorecon reset /web/file1 context unconfined_u:object_r:httpd_sys_content_t:s0->system_u:object_r:default_t:s0
   

过程 4.8. 更改文件或目录的类型

1. 以 root 用户身份，在 /etc 目录中创建一个新文件。默认情况下，/etc 中新创建的文件使用 etc_t 类型标记：

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0       /etc/file1
   

   要列出有关目录的信息，请使用以下命令：

   ~]$ ls -dZ directory_name

2. 以 root 身份，输入以下命令将 file1 类型更改为 samba_share_t。a 选项 添加新记录，而 -t 选项则 定义类型(samba_share_t)。请注意，运行这个命令不会直接更改类型；file 1 仍然使用 etc_t 类型进行标记：

   ~]# semanage fcontext -a -t samba_share_t /etc/file1

   ~]# ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0       /etc/file1
   

   ~]$ semanage fcontext -C -l
   /etc/file1    unconfined_u:object_r:samba_share_t:s0
   

3. 以 root 用户身份，使用 restorecon 实用程序更改类型。因为 semanage 向 /etc/file1 的 file_contexts.local 中添加了一个条目，所以restorecon 会将类型改为 samba_share_t ：

   ~]# restorecon -v /etc/file1
   restorecon reset /etc/file1 context unconfined_u:object_r:etc_t:s0->system_u:object_r:samba_share_t:s0
   

过程 4.9. 更改目录及其内容类型

1. 以 root 用户身份，在此目录中创建一个新的 Web/ 目录，再创建 3 个空文件（file1、file2 和 file3）。其中包含的 web/ 目录和文件使用 default_t 类型标记：

   ~]# mkdir /web

   ~]# touch /web/file{1,2,3}

   ~]# ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]# ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

2. 以 root 身份，输入以下命令将 web/ 目录的类型及其文件更改为 httpd_sys_content_t。a 选项 添加新记录，-t 选项定义类型(httpd_sys_content_t)。"/web(/.*)?" 正则表达式会导致 semanage 对 web/ 以及其中的文件应用更改。请注意，运行这个命令不会直接更改类型；其中的 web/ 和文件仍使用 default_t 类型进行标记：

   ~]# semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?"

   ~]$ ls -dZ /web
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /web
   

   ~]$ ls -lZ /web
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:default_t:s0 file3
   

   semanage fcontext -a -t httpd_sys_content_t "/web(/.*)?" 命令将以下条目添加到 /etc/selinux/targeted/contexts/files/file_contexts.local 中：

   /web(/.*)?    system_u:object_r:httpd_sys_content_t:s0
   

3. 以 root 用户身份，使用 restorecon 实用程序更改 web/ 的类型，以及其中的所有文件。r 用于递归，这意味着 web/ 下的所有文件和目录都标有 httpd_sys_content_t 类型。因为 semanage 向 file.contexts.local 为 /web(/.*)? 添加了一个条目，所以 restorecon 将类型改为 httpd_sys_content_t ：

   ~]# restorecon -R -v /web
   restorecon reset /web context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file2 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file3 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /web/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   

   请注意，默认情况下，新创建的文件和目录继承其父目录的 SELinux 类型。

过程 4.10. 删除添加的上下文

~]# semanage fcontext -d "/web(/.*)?"

1. 要删除上下文，请输入以下命令，其中 file-name |directory-name 是 file_contexts.local 中的第一个部分：

   ~]# semanage fcontext -d file-name|directory-name

   以下是 file_contexts.local 中的上下文示例：

   /test    system_u:object_r:httpd_sys_content_t:s0
   

   第一部分被 测试。要在运行 restorecon 后，或文件系统重新标记后，要防止 test/ 目录被标记为 httpd_sys_content_t，请以 root 身份输入以下命令从 file_contexts.local 中删除 上下文：

   ~]# semanage fcontext -d /test

2. 以 root 用户身份，使用 restorecon 实用程序恢复默认 SELinux 上下文。

过程 4.11. 在不保留 SELinux 上下文的情况下复制

1. 在用户的主目录中创建文件。该文件使用 user_home_t 类型标记：

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. /var/www/html/ 目录使用 httpd_sys_content_t 类型标记，如下所示：

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

3. 将 file1 复制到 /var/www/html/ 时，它会继承 httpd_sys_content_t 类型：

   ~]# cp file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1
   

过程 4.12. 复制时保留 SELinux 上下文

1. 在用户的主目录中创建文件。该文件使用 user_home_t 类型标记：

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. /var/www/html/ 目录使用 httpd_sys_content_t 类型标记，如下所示：

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

3. 使用 --preserve=context 选项可在复制操作期间保留 SELinux 上下文。如下所示，文件复制到 /var/www/html/ 时保留 user_home_t 的文件1 类型：

   ~]# cp --preserve=context file1 /var/www/html/

   ~]$ ls -Z /var/www/html/file1
   -rw-r--r--  root root unconfined_u:object_r:user_home_t:s0 /var/www/html/file1
   

过程 4.13. 复制和更改上下文

1. 在用户的主目录中创建文件。该文件使用 user_home_t 类型标记：

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. 使用 --context 选项来定义 SELinux 上下文：

   ~]$ cp --context=system_u:object_r:samba_share_t:s0 file1 file2

3. 如果没有 --context，file2 将使用 unconfined_u:object_r:user_home_t 上下文标记：

   ~]$ ls -Z file1 file2
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   -rw-rw-r--  user1 group1 system_u:object_r:samba_share_t:s0 file2
   

过程 4.14. 使用现有文件复制文件

1. 以 root 用户身份，在 /etc 目录中创建一个新 文件 file1。如下所示，该文件使用 etc_t 类型进行标记：

   ~]# touch /etc/file1

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1
   

2. 在 /tmp 目录中创建另一个 文件 file2。如下所示，该文件使用 user_tmp_t 类型进行标记：

   ~]$ touch /tmp/file2

   ~$ ls -Z /tmp/file2
   -rw-r--r--  root root unconfined_u:object_r:user_tmp_t:s0 /tmp/file2
   

3. 使用 file 2 覆盖 file 1 ：

   ~]# cp /tmp/file2 /etc/file1

4. 复制后，以下命令显示使用 etc_t 类型标记的 file1，而不是替换 / etc/file1 的 /tmp/file2 中的 user_tmp_t 类型：

   ~]$ ls -Z /etc/file1
   -rw-r--r--  root root unconfined_u:object_r:etc_t:s0   /etc/file1
   

过程 4.15. 移动文件和目录

1. 更改到您的主目录，并在其中创建文件。该文件使用 user_home_t 类型标记：

   ~]$ touch file1

   ~]$ ls -Z file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 file1
   

2. 输入以下命令查看 /var/www/html/ 目录的 SELinux 上下文：

   ~]$ ls -dZ /var/www/html/
   drwxr-xr-x  root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
   

   默认情况下，/var/www/html/ 被标记为 httpd_sys_content_t 类型。在 /var/www/html/ 下创建的文件和目录继承此类型，因此，它们使用此类型进行标记。
3. 以 root 身份，将 file1 移到 /var/www/html/。因为这个文件被移动，它会保留当前的 user_home_t 类型：

   ~]# mv file1 /var/www/html/

   ~]# ls -Z /var/www/html/file1
   -rw-rw-r--  user1 group1 unconfined_u:object_r:user_home_t:s0 /var/www/html/file1
   

过程 4.16. 使用 matchpathcon检查默认 SELinux Conxtext

1. 以 root 用户身份，在 /var/www/html/ 目录中创建三个文件（ file1、file2 和 file3 ）。这些文件继承 /var/www/html/ 中的 httpd_sys_content_t 类型：

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

2. 以 root 身份，将 file1 类型更改为 samba_share_t。请注意，Apache HTTP 服务器无法读取标有 samba_share_t 类型的文件或目录。

   ~]# chcon -t samba_share_t /var/www/html/file1

3. matchpathcon -V 选项可将当前 SELinux 上下文与 SELinux 策略中正确的默认上下文进行比较。输入以下命令检查 /var/www/html/ 目录中的所有文件：

   ~]$ matchpathcon -V /var/www/html/*
   /var/www/html/file1 has context unconfined_u:object_r:samba_share_t:s0, should be system_u:object_r:httpd_sys_content_t:s0
   /var/www/html/file2 verified.
   /var/www/html/file3 verified.
   

过程 4.17. 创建 tar 归档

1. 进入 /var/www/html/ 目录并查看其 SELinux 上下文：

   ~]$ cd /var/www/html/

   html]$ ls -dZ /var/www/html/
   drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 .

2. 以 root 用户身份，在 /var/www/html/ 中创建三个文件（ file1、file2 和 file3 ）。这些文件继承 /var/www/html/ 中的 httpd_sys_content_t 类型：

   html]# touch file{1,2,3}

   html]$ ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

3. 以 root 身份，输入以下命令创建名为 test.tar 的 tar 存档。使用 --selinux 保留 SELinux 上下文：

   html]# tar --selinux -cf test.tar file{1,2,3}

4. 以 root 用户身份，创建一个名为 test/ 的新目录，然后允许所有用户对其进行完全访问：

   ~]# mkdir /test

   ~]# chmod 777 /test/

5. 将 test.tar 文件复制到 test/ 中：

   ~]$ cp /var/www/html/test.tar /test/

6. 更改到 test/ 目录。在该目录中后，输入以下命令提取 tar 存档。再次指定 --selinux 选项，否则 SELinux 上下文将更改为 default_t ：

   ~]$ cd /test/

   test]$ tar --selinux -xvf test.tar

7. 查看 SELinux 上下文。httpd_sys_content_t 类型已被保留，而不是更改为 default_t，如果 --selinux 没有被使用，这会发生这样的情况：

   test]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.tar
   

8. 如果不再需要 test/ 目录，以 root 用户身份输入以下命令删除它，以及其中的所有文件：

   ~]# rm -ri /test/

过程 4.18. 创建 星级 存档

1. 以 root 用户身份，在 /var/www/html/ 中创建三个文件（ file1、file2 和 file3 ）。这些文件继承 /var/www/html/ 中的 httpd_sys_content_t 类型：

   ~]# touch /var/www/html/file{1,2,3}

   ~]# ls -Z /var/www/html/
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 file3
   

2. 更改到 /var/www/html/ 目录。在这个目录中，以 root 身份输入以下命令来创建一个名为 test.star 的星 级存档：

   ~]$ cd /var/www/html

   html]# star -xattr -H=exustar -c -f=test.star file{1,2,3}
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).
   

3. 以 root 用户身份，创建一个名为 test/ 的新目录，然后允许所有用户对其进行完全访问：

   ~]# mkdir /test

   ~]# chmod 777 /test/

4. 输入以下命令将 test.star 文件复制到 test / 中：

   ~]$ cp /var/www/html/test.star /test/

5. 更改为 test/。在这个目录中后，输入以下命令提取 星级 归档：

   ~]$ cd /test/

   test]$ star -x -f=test.star 
   star: 1 blocks + 0 bytes (total of 10240 bytes = 10.00k).
   

6. 查看 SELinux 上下文。httpd_sys_content_t 类型已被保留，而不是更改为 default_t，如果未使用 -xattr -H=exustar 选项，则会发生这种情况：

   ~]$ ls -lZ /test/
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file1
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file2
   -rw-r--r--  user1 group1 unconfined_u:object_r:httpd_sys_content_t:s0 file3
   -rw-r--r--  user1 group1 unconfined_u:object_r:default_t:s0 test.star
   

7. 如果不再需要 test/ 目录，以 root 用户身份输入以下命令删除它，以及其中的所有文件：

   ~]# rm -ri /test/

8. 如果不再需要 星号，请以 root 用户身份删除软件包：

   ~]# yum remove star

过程 4.19. 启用 SELinux MLS 策略

1. 安装 selinux-policy-mls 软件包：

   ~]# yum install selinux-policy-mls

2. 在启用 MLS 策略之前，必须使用 MLS 标签重新标记文件系统中的每个文件。重新标记文件系统时，可能会拒绝访问受限域，这可能会妨碍系统正确启动。要防止发生这种情况，请在 /etc/selinux/config 文件中配置 SELINUX=permissive。另外，通过配置 SELINUXTYPE=mls 来启用 MLS 策略。您的配置文件应如下所示：

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=permissive
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls
   

3. 确保 SELinux 以 permissive 模式运行：

   ~]# setenforce 0

   ~]$ getenforce
   Permissive
   

4. 使用 fixfiles 脚本创建包含 -F 选项的 /.autorelabel 文件，以确保在下次重启时重新标记文件：

   ~]# fixfiles -F onboot

5. 重启您的系统。在下一次启动期间，将根据 MLS 策略重新标记所有文件系统。标签进程使用适当的 SELinux 上下文标记所有文件：

   *** Warning -- SELinux mls policy relabel is required.
   *** Relabeling could take a very long time, depending on file
   *** system size and speed of hard drives.
   ***********
   

   底部行中的每个 *（星 号）字符表示 1000 个已标记的文件。在上面的示例中，十一 * 字符代表 11000 个已标记的文件。标记所有文件所需的时间取决于系统上的文件数量以及硬盘驱动器的速度。在现代系统中，此过程只需 10 分钟。标签过程完成后，系统将自动重新引导。
6. 在 permissive 模式中，SELinux 策略不会被强制实施，但是仍会记录在 enforcing 模式运行时会被拒绝的操作。在更改为 enforcing 模式之前，以 root 身份输入以下命令，以确认 SELinux 在上一次启动期间没有拒绝操作。如果在上一次启动期间 SELinux 没有拒绝操作，这个命令不会返回任何输出。如果在引导过程中 SELinux 拒绝访问，请参阅 第 11 章 故障排除。

   ~]# grep "SELinux is preventing" /var/log/messages

7. 如果 /var/log/messages 文件中没有拒绝信息，或者您已解决所有现有的拒绝，请在 /etc/selinux/config 文件中配置 SELINUX=enforcing ：

   # This file controls the state of SELinux on the system.
   # SELINUX= can take one of these three values:
   #       enforcing - SELinux security policy is enforced.
   #       permissive - SELinux prints warnings instead of enforcing.
   #       disabled - No SELinux policy is loaded.
   SELINUX=enforcing
   # SELINUXTYPE= can take one of these two values:
   #       targeted - Targeted processes are protected,
   #       mls - Multi Level Security protection.
   SELINUXTYPE=mls
   

8. 重启您的系统并确保 SELinux 以 enforcing 模式运行：

   ~]$ getenforce
   Enforcing
   

   启用了 MLS 策略：

   ~]# sestatus |grep mls
   Policy from config file:        mls
   

过程 4.20. 使用特定 MLS 范围创建用户

1. 使用 useradd 命令添加新的 Linux 用户，并将新的 Linux 用户映射到现有 SELinux 用户（本例中为 staff_u）：

   ~]# useradd -Z staff_u john

2. 为新创建的 Linux 用户分配密码：

   prompt~]# passwd john

3. 以 root 身份输入以下命令，以查看 SELinux 和 Linux 用户之间的映射。输出应如下：

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s0-s15:c0.c1023      *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

4. 为用户 john 定义一个特定范围：

   ~]# semanage login --modify --range s2:c100 john

5. 再次查看 SELinux 和 Linux 用户之间的映射。请注意，用户 john 现在定义了特定的 MLS 范围：

   ~]# semanage login -l
   Login Name           SELinux User         MLS/MCS Range        Service
   
   __default__          user_u               s0-s0                *
   john                 staff_u              s2:c100              *
   root                 root                 s0-s15:c0.c1023      *
   staff                staff_u              s0-s15:c0.c1023      *
   sysadm               staff_u              s0-s15:c0.c1023      *
   system_u             system_u             s0-s15:c0.c1023      *

6. 如果需要，请输入以下命令更正 john 主目录中的标签：

   ~]# chcon -R -l s2:c100 /home/john

过程 4.21. 启用 Polyinstantiation 目录

1. 取消注释 /etc/security/namespace.conf 文件中的最后三行，以启用 /tmp、/var/tmp/ 和用户主目录的实例化：

   ~]$ tail -n 3 /etc/security/namespace.conf
   /tmp     /tmp-inst/            level      root,adm
   /var/tmp /var/tmp/tmp-inst/    level      root,adm
   $HOME    $HOME/$USER.inst/     level
   

2. 在 /etc/pam.d/login 文件中确保为会话配置了 pam_namespace.so 模块：

   ~]$ grep namespace /etc/pam.d/login
   session    required     pam_namespace.so
   

3. 重启您的系统。

1. 拒绝信息和相关系统调用记录到 /var/log/audit/audit.log 文件中：

   type=AVC msg=audit(1226270358.848:238): avc:  denied  { write } for  pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
   
   type=SYSCALL msg=audit(1226270358.848:238): arch=40000003 syscall=39 success=no exit=-13 a0=39a2bf a1=3ff a2=3a0354 a3=94703c8 items=0 ppid=13344 pid=13349 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="certwatch" exe="/usr/bin/certwatch" subj=system_u:system_r:certwatch_t:s0 key=(null)
   

   在本例中，certwatch 被拒绝了对标有 var_t 类型的目录的写入访问。根据 第 11.3.7 节 “sealert 消息” 分析拒绝消息。如果没有标签更改或布尔值被允许访问，请使用 audit2allow 创建本地策略模块。
2. 输入以下命令生成人类可读的描述，说明为什么拒绝访问。audit2allow 工具读取 /var/log/audit/audit.log，因此必须以 root 用户身份运行：

   ~]# audit2allow -w -a
   type=AVC msg=audit(1226270358.848:238): avc:  denied  { write } for  pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
   	Was caused by:
   		Missing type enforcement (TE) allow rule.
   
   	You can use audit2allow to generate a loadable module to allow this access.
   

   a 命令行 选项可使所有审计日志被读取。w 选项 生成人类可读的描述。如上所示，缺少 Type Enforcement 规则，因此访问被拒绝。
3. 输入以下命令查看允许拒绝访问的 Type Enforcement 规则：

   ~]# audit2allow -a
   
   
   #============= certwatch_t ==============
   allow certwatch_t var_t:dir write;
   

   重要

   缺少 Type Enforcement 规则通常由 SELinux 策略中的错误导致，应在 Red Hat Bugzilla 中报告。对于 Red Hat Enterprise Linux，针对 Red Hat Enterprise Linux 产品创建程序错误，然后选择 selinux-policy 组件。在此类错误报告中，包括 audit2allow -w -a 和 audit2allow -a 命令的输出。
4. 要使用 audit2allow -a 显示的规则，以 root 用户身份输入以下命令来创建自定义模块。在当前工作目录中 ， 使用 -M 指定的名称创建一个 Type Enforcement 文件(.te)：

   ~]# audit2allow -a -M mycertwatch
   ******************** IMPORTANT ***********************
   To make this policy package active, execute:
   
   semodule -i mycertwatch.pp
   

5. 此外，audit2 允许将 Type Enforcement 规则编译 到策略软件包(.pp)中：

   ~]# ls
   mycertwatch.pp  mycertwatch.te
   

   要安装模块，以 root 用户身份输入以下命令：

   ~]# semodule -i mycertwatch.pp

   重要

   使用 audit2 允许 创建的模块可能会允许超过所需的访问权限。建议通过 audit2allow 创建的策略发布到上游 SELinux 列表中以供审核。 如果您认为策略中存在错误，请在 Red Hat Bugzilla 中创建一个错误。

1. 以 root 用户身份使用 mkdir 实用程序创建顶级目录：

   ~]# mkdir /mywebsite

2. 以 root 用户身份，创建 /mywebsite/index.html 文件。将以下内容复制并粘贴到 /mywebsite/index.html 中：

   <html>
   <h2>index.html from /mywebsite/</h2>
   </html>
   

3. 要允许 Apache HTTP 服务器只读访问 /mywebsite/ 以及它下的文件和子目录，请将 目录标记为 httpd_sys_content_t 类型。以 root 用户身份输入以下命令，将标签更改添加到 file-context 配置中：

   ~]# semanage fcontext -a -t httpd_sys_content_t "/mywebsite(/.*)?"

4. 以 root 用户身份使用 restorecon 工具进行标签更改：

   ~]# restorecon -R -v /mywebsite
   restorecon reset /mywebsite context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   restorecon reset /mywebsite/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:httpd_sys_content_t:s0
   

5. 在本例中，以 root 用户身份编辑 /etc/httpd/conf/httpd.conf 文件。注释掉现有的 DocumentRoot 选项。添加 DocumentRoot "/mywebsite" 选项。编辑后，这些选项应如下所示：

   #DocumentRoot "/var/www/html"
   DocumentRoot "/mywebsite"
   

6. 以 root 身份输入以下命令，查看 Apache HTTP 服务器的状态。如果服务器停止，启动它：

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: inactive (dead)
   

   ~]# systemctl start httpd.service

   如果服务器正在运行，请以 root 身份执行以下命令来重新启动服务（这也会应用对 httpd.conf所做的任何更改）：

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: active (running) since Wed 2014-02-05 13:16:46 CET; 2s ago
   

   ~]# systemctl restart httpd.service

7. 使用 Web 浏览器导航到 此时会显示以下内容：

   index.html from /mywebsite/
   

1. 以 root 用户身份使用 mkdir 工具创建新的顶级目录，以在多个服务间共享文件：

   ~]# mkdir /shares

2. 在 file-context 配置中与 模式不匹配的文件和目录可能会使用 default_t 类型进行标记。受限制的服务无法访问此类型：

   ~]$ ls -dZ /shares
   drwxr-xr-x  root root unconfined_u:object_r:default_t:s0 /shares
   

3. 以 root 用户身份，创建 /shares/index.html 文件。将以下内容复制并粘贴到 /shares/index.html 中：

   <html>
   <body>
   <p>Hello</p>
   </body>
   </html>
   

4. 使用 public_content_t 类型标记 /shares/ 允许 Apache HTTP 服务器、FTP、rsync 和 Samba 的只读访问。以 root 用户身份输入以下命令，将标签更改添加到 file-context 配置中：

   ~]# semanage fcontext -a -t public_content_t "/shares(/.*)?"

5. 以 root 用户身份使用 restorecon 工具应用标签更改：

   ~]# restorecon -R -v /shares/
   restorecon reset /shares context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0
   restorecon reset /shares/index.html context unconfined_u:object_r:default_t:s0->system_u:object_r:public_content_t:s0
   

1. 确认已安装了 samba 、samba-common 和 samba-client 软件包（版本号可能有所不同）：

   ~]$ rpm -q samba samba-common samba-client
   samba-3.4.0-0.41.el6.3.i686
   samba-common-3.4.0-0.41.el6.3.i686
   samba-client-3.4.0-0.41.el6.3.i686
   

   如果没有安装任何这些软件包，请以 root 用户身份运行以下命令安装它们：

   ~]# yum install package-name

2. 以 root 用户身份编辑 /etc/samba/smb.conf 文件。在该文件的底部添加以下条目，以通过 Samba 共享 /shares/ 目录：

   [shares]
   comment = Documents for Apache HTTP Server, FTP, rsync, and Samba
   path = /shares
   public = yes
   writable = no
   

3. 需要 Samba 帐户来挂载 Samba 文件系统。以 root 身份输入以下命令来创建 Samba 帐户，其中 username 是现有 Linux 用户。例如，smbpasswd -a testuser 为 Linux testuser 用户创建一个 Samba 帐户：

   ~]# smbpasswd -a testuser
   New SMB password: Enter a password
   Retype new SMB password: Enter the same password again
   Added user testuser.
   

   如果您运行上述命令，指定系统上不存在的帐户的用户名，这会导致 Cannot locate Unix 帐户出现 'username'! 错误。
4. 启动 Samba 服务：

   ~]# systemctl start smb.service

5. 输入以下命令列出可用的共享，其中 username 是第 3 步中添加的 Samba 帐户。提示输入密码时，在第 3 步中输入分配给 Samba 帐户的密码（版本号可能有所不同）：

   ~]$ smbclient -U username -L localhost
   Enter username's password:
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Sharename       Type      Comment
   ---------       ----      -------
   shares          Disk      Documents for Apache HTTP Server, FTP, rsync, and Samba
   IPC$            IPC       IPC Service (Samba Server Version 3.4.0-0.41.el6)
   username        Disk      Home Directories
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Server               Comment
   ---------            -------
   
   Workgroup            Master
   ---------            -------
   

6. 用户 mkdir 实用程序来创建新目录。该目录将用于挂载 共享 Samba 共享：

   ~]# mkdir /test/

7. 以 root 身份输入以下命令将 共享 Samba 共享 挂载到 /test/，将 username 替换为第 3 步中的用户名：

   ~]# mount //localhost/shares /test/ -o user=username

   输入 username 的密码，这是在第 3 步中配置的。
8. 查看通过 Samba 共享的 文件的内容：

   ~]$ cat /test/index.html
   <html>
   <body>
   <p>Hello</p>
   </body>
   </html>
   

1. 确认已安装 httpd 软件包（版本号可能有所不同）：

   ~]$ rpm -q httpd
   httpd-2.2.11-6.i386
   

   如果没有安装这个软件包，以 root 用户身份使用 yum 工具安装它：

   ~]# yum install httpd

2. 更改到 /var/www/html/ 目录。以 root 用户身份输入以下命令来创建 /shares/ 目录的链接（名为 共享）：

   html]# ln -s /shares/ shares

3. 启动 Apache HTTP 服务器：

   ~]# systemctl start httpd.service

4. 使用 Web 浏览器导航到 显示 /shares/index.html 文件。

1. 删除 index.html 文件：

   ~]# rm -i /shares/index.html

2. 以 root 用户身份使用 touch 实用程序在 /shares/ 中创建三个文件：

   ~]# touch /shares/file{1,2,3}
   ~]# ls -Z /shares/
   -rw-r--r--  root root system_u:object_r:public_content_t:s0 file1
   -rw-r--r--  root root unconfined_u:object_r:public_content_t:s0 file2
   -rw-r--r--  root root unconfined_u:object_r:public_content_t:s0 file3
   

3. 以 root 用户身份输入以下命令查看 Apache HTTP 服务器的状态：

   ~]# systemctl status httpd.service
   httpd.service - The Apache HTTP Server
      Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
      Active: inactive (dead)
   

   如果服务器停止，启动它：

   ~]# systemctl start httpd.service

4. 使用 Web 浏览器导航到 此时会显示目录列表：
   

1. 以 root 用户身份编辑 /etc/httpd/conf/httpd.conf 文件，以便 Listen 选项列出 httpd 的 SELinux 策略中未配置的端口。以下示例将 httpd 配置为侦听 10.0.0.1 IP 地址和 TCP 端口 12345：

   # Change this to Listen on specific IP addresses as shown below to 
   # prevent Apache from glomming onto all bound IP addresses (0.0.0.0)
   #
   #Listen 12.34.56.78:80
   Listen 10.0.0.1:12345
   

2. 以 root 用户身份输入以下命令，将端口添加到 SELinux 策略配置中：

   ~]# semanage port -a -t http_port_t -p tcp 12345

3. 确认添加了端口：

   ~]# semanage port -l | grep -w http_port_t
   http_port_t                    tcp      12345, 80, 443, 488, 8008, 8009, 8443
   

1. 确认已安装 samba 、samba-common 和 samba-client 软件包：

   ~]$ rpm -q samba samba-common samba-client
   package samba is not installed
   package samba-common is not installed
   package samba-client is not installed
   

   如果没有安装这些软件包，以 root 用户身份使用 yum 工具安装它们：

   ~]# yum install package-name

2. 以 root 用户身份使用 mkdir 实用程序创建一个新的顶级目录，以通过 Samba 共享文件：

   ~]# mkdir /myshare

3. 使用 touch 实用程序 root 创建空文件。此文件稍后用于验证 Samba 共享正确挂载：

   ~]# touch /myshare/file1

4. 只要相应地设置了 /etc/samba/smb.conf 文件，SELinux 允许 Samba 读取和写入标记有 samba_share_t 类型的文件。以 root 用户身份输入以下命令，将标签更改添加到 file-context 配置中：

   ~]# semanage fcontext -a -t samba_share_t "/myshare(/.*)?"

5. 以 root 用户身份使用 restorecon 工具应用标签更改：

   ~]# restorecon -R -v /myshare
   restorecon reset /myshare context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0
   restorecon reset /myshare/file1 context unconfined_u:object_r:default_t:s0->system_u:object_r:samba_share_t:s0
   

6. 以 root 用户身份编辑 /etc/samba/smb.conf。在该文件的底部添加以下内容，以通过 Samba 共享 /myshare/ 目录：

   [myshare]
   comment = My share
   path = /myshare
   public = yes
   writable = no
   

7. 需要 Samba 帐户来挂载 Samba 文件系统。以 root 身份输入以下命令来创建 Samba 帐户，其中 username 是现有 Linux 用户。例如，smbpasswd -a testuser 为 Linux testuser 用户创建一个 Samba 帐户：

   ~]# smbpasswd -a testuser
   New SMB password: Enter a password
   Retype new SMB password: Enter the same password again
   Added user testuser.
   

   如果您输入以上命令并指定系统中不存在的帐户的用户名，这会导致 Cannot locate Unix 帐户出现 'username'! 错误。
8. 启动 Samba 服务：

   ~]# systemctl start smb.service

9. 输入以下命令列出可用的共享，其中 username 是第 7 步中添加的 Samba 帐户。提示输入密码时，在第 7 步中输入分配给 Samba 帐户的密码（版本号可能有所不同）：

   ~]$ smbclient -U username -L localhost
   Enter username's password:
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Sharename       Type      Comment
   ---------       ----      -------
   myshare         Disk      My share
   IPC$            IPC       IPC Service (Samba Server Version 3.4.0-0.41.el6)
   username        Disk      Home Directories
   Domain=[HOSTNAME] OS=[Unix] Server=[Samba 3.4.0-0.41.el6]
   
   Server               Comment
   ---------            -------
   
   Workgroup            Master
   ---------            -------
   

10. 以 root 用户身份使用 mkdir 实用程序来创建新目录。该目录将用于挂载 myshare Samba 共享：

    ~]# mkdir /test/

11. 以 root 身份输入以下命令将 myshare Samba 共享挂载到 /test/，将 username 替换为第 7 步中的用户名：

    ~]# mount //localhost/myshare /test/ -o user=username

    输入 username 的密码，该密码在第 7 步中配置。
12. 输入以下命令查看在第 3 步中创建的 file1 文件：

    ~]$ ls /test/
    file1
    

1. 以 root 用户身份，创建 /var/www/html/file1.html 文件。将以下内容复制并粘贴到该文件中：

   <html>
   <h2>File being shared through the Apache HTTP Server and Samba.</h2>
   </html>
   

2. 输入以下命令查看 file1.html 的 SELinux 上下文：

   ~]$ ls -Z /var/www/html/file1.html
   -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1.html
   

   该文件标有 httpd_sys_content_t 标签。默认情况下，Apache HTTP 服务器可以访问此类型，但 Samba 不能。
3. 启动 Apache HTTP 服务器：

   ~]# systemctl start httpd.service

4. 更改到用户具有写入权限的目录，并输入以下命令。除非对默认配置进行了更改，否则这个命令会成功：

   ~]$ wget http://localhost/file1.html
   Resolving localhost... 127.0.0.1
   Connecting to localhost|127.0.0.1|:80... connected.
   HTTP request sent, awaiting response... 200 OK
   Length: 84 [text/html]
   Saving to: `file1.html.1'
   
   100%[=======================>] 84          --.-K/s   in 0s      
   
   `file1.html.1' saved [84/84]
   

5. 以 root 用户身份编辑 /etc/samba/smb.conf。在该文件的底部添加以下内容，通过 Samba 共享 /var/www/html/ 目录：

   [website]
   comment = Sharing a website
   path = /var/www/html/
   public = no
   writable = no
   

6. /var/www/html/ 目录标有 httpd_sys_content_t 类型。默认情况下，Samba 无法访问使用此类型标记的文件和目录，即使 Linux 权限允许这样做。要允许 Samba 访问，请启用 samba_export_all_ro 布尔值：

   ~]# setsebool -P samba_export_all_ro on

   如果您不希望更改在重新引导后保留，则不要使用 -P 选项。请注意，启用 samba_export_all_ro 布尔值可允许 Samba 访问任何类型。
7. 启动 Samba 服务：

   ~]# systemctl start smb.service

1. 如果 NFS 服务器正在运行，请停止它：

   [nfs-srv]# systemctl stop nfs

   确认服务器已停止：

   [nfs-srv]# systemctl status nfs
   nfs-server.service - NFS Server
      Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
      Active: inactive (dead)
   

2. 编辑 /etc/sysconfig/nfs 文件，将 RPCNFSDARGS 标志设置为 "-V 4.2:

   # Optional arguments passed to rpc.nfsd. See rpc.nfsd(8)
   RPCNFSDARGS="-V 4.2"

3. 再次启动服务器，并确认它正在运行。输出将包含以下信息，只有时间戳会有所不同：

   [nfs-srv]# systemctl start nfs

   [nfs-srv]# systemctl status nfs
   nfs-server.service - NFS Server
      Loaded: loaded (/usr/lib/systemd/system/nfs-server.service; disabled)
      Active: active (exited) since Wed 2013-08-28 14:07:11 CEST; 4s ago
   

4. 在客户端中挂载 NFS 服务器：

   [nfs-client]# mount -o v4.2 server:mntpoint localmountpoint

5. 现在，所有 SELinux 标签都从服务器成功传递给客户端：

   [nfs-srv]$ ls -Z file
   -rw-rw-r--. user user unconfined_u:object_r:svirt_image_t:s0 file
   [nfs-client]$ ls -Z file
   -rw-rw-r--. user user unconfined_u:object_r:svirt_image_t:s0 file

1. 这个示例需要 cvs 和 xinetd 软件包。确认已安装了软件包：

   [cvs-srv]$ rpm -q cvs xinetd
   package cvs is not installed
   package xinetd is not installed
   

   如果没有安装，以 root 用户身份使用 yum 工具安装它：

   [cvs-srv]# yum install cvs xinetd

2. 以 root 用户身份输入以下命令，创建一个名为 CVS 的组：

   [cvs-srv]# groupadd CVS

   这也可通过使用 system-config-users 实用程序来完成。
3. 创建一个用户名为 cvsuser 的用户，并使该用户成为 CVS 组的成员。这可以通过 system-config-users 完成。
4. 编辑 /etc/services 文件，并确保 CVS 服务器具有类似如下的未注释条目：

   cvspserver	2401/tcp			# CVS client/server operations
   cvspserver	2401/udp			# CVS client/server operations
   

5. 在文件系统的根区域创建 CVS 存储库。在使用 SELinux 时，最好在 root 文件系统中包含 存储库，以便为它指定递归标签，而不影响任何其他子目录。例如，以 root 用户身份创建一个 /cvs/ 目录来存放存储库：

   [root@cvs-srv]# mkdir /cvs

6. 为所有用户授予 /cvs/ 目录的完整权限：

   [root@cvs-srv]# chmod -R 777 /cvs

   警告

   这只是一个示例，不应在生产系统中使用这些权限。
7. 编辑 /etc/xinetd.d/cvs 文件，并确保 CVS 部分未注释并配置为使用 /cvs/ 目录。该文件应类似于：

   service cvspserver
   {
   	disable	= no
   	port			= 2401
   	socket_type		= stream
   	protocol		= tcp
   	wait			= no
   	user			= root
   	passenv			= PATH
   	server			= /usr/bin/cvs
   	env			= HOME=/cvs
   	server_args		= -f --allow-root=/cvs pserver
   #	bind			= 127.0.0.1
   

8. 启动 xinetd 守护进程：

   [cvs-srv]# systemctl start xinetd.service

9. 添加一条规则，允许使用 system-config-firewall 实用程序通过端口 2401 上的 TCP 进行入站连接。
10. 在客户端中，以 cvsuser 用户身份输入以下命令：

    [cvsuser@cvs-client]$ cvs -d /cvs init

11. 此时，CVS 已配置好，但 SELinux 仍会拒绝登录和文件访问。要演示这一点，请在 cvs-client 上设置 $CVSROOT 变量并尝试远程登录。以下步骤应该在 cvs-client 上执行：

    [cvsuser@cvs-client]$ export CVSROOT=:pserver:cvsuser@192.168.1.1:/cvs
    [cvsuser@cvs-client]$
    [cvsuser@cvs-client]$ cvs login
    Logging in to :pserver:cvsuser@192.168.1.1:2401/cvs
    CVS password: ********
    cvs [login aborted]: unrecognized auth response from 192.168.100.1: cvs pserver: cannot open /cvs/CVSROOT/config: Permission denied
    

    SELinux 已阻止访问。为了让 SELinux 允许此访问，应该在 cvs-srv 上执行以下步骤：
12. 更改 /cvs/ 目录的上下文，以便以递归方式标记 /cvs/ 目录中的任何现有和新数据，为其提供 cvs_data_t 类型：

    [root@cvs-srv]# semanage fcontext -a -t cvs_data_t '/cvs(/.*)?'
    [root@cvs-srv]# restorecon -R -v /cvs

13. 客户端 cvs-client 现在能够登录并访问这个仓库中的所有 CVS 资源：

    [cvsuser@cvs-client]$ export CVSROOT=:pserver:cvsuser@192.168.1.1:/cvs
    [cvsuser@cvs-client]$
    [cvsuser@cvs-client]$ cvs login
    Logging in to :pserver:cvsuser@192.168.1.1:2401/cvs
    CVS password: ********
    [cvsuser@cvs-client]$
    

1. 确认已安装了 squid ：

   ~]$ rpm -q squid
   package squid is not installed
   

   如果没有安装该软件包，以 root 用户身份使用 yum 工具安装它：

   ~]# yum install squid

2. 编辑主配置文件 /etc/squid/squid.conf，并确认 cache_dir 指令没有被注释，如下所示：

   cache_dir ufs /var/spool/squid 100 16 256
   

   此行指定要在本示例中使用的 cache_dir 指令的默认设置；它由 Squid 存储格式(ufs)、缓存所在系统上的目录(/var/spool/squid)组成，以兆字节为单位的磁盘空间大小（分别为16 和 256 ），最后包含 Squid 存储格式(ufs)。
3. 在同一配置文件中，确保 http_access allow localnet 指令已被取消注释。这允许来自 localnet ACL 的流量（在 Red Hat Enterprise Linux 上的 Squid 默认安装中自动配置）。它将允许任何现有 RFC1918 网络上的客户端计算机通过代理进行访问，这足以满足这个简单示例。
4. 在同一配置文件中，确保 see _hostname 指令未注释，并且已配置为计算机的主机名。该值应该是主机的完全限定域名(FQDN)：

   visible_hostname squid.example.com
   

5. 以 root 身份，输入以下命令启动 squid 守护进程。由于这是 squid 首次启动时，这个命令会按照 cache_dir 指令上方指定的缓存目录初始化，然后启动守护进程：

   ~]# systemctl start squid.service

   确保 squid 启动成功。输出将包括以下信息，只有时间戳会有所不同：

   ~]# systemctl status squid.service
   squid.service - Squid caching proxy
      Loaded: loaded (/usr/lib/systemd/system/squid.service; disabled)
      Active: active (running) since Thu 2014-02-06 15:00:24 CET; 6s ago
   

6. 确认 squid 进程 ID(PID)已作为受限服务启动，如 squid_var_run_t 值所示：

   ~]# ls -lZ /var/run/squid.pid 
   -rw-r--r--. root squid unconfined_u:object_r:squid_var_run_t:s0 /var/run/squid.pid
   

7. 此时，连接到先前配置的 localnet ACL 的客户端计算机能够将此主机的内部接口用作其代理。这可以在适用于所有常见 Web 浏览器或系统范围的设置中配置。Squid 现在侦听目标计算机的默认端口(TCP 3128)，但目标计算机将仅允许通过通用端口与 Internet 上的其他服务的传出连接。这是由 SELinux 本身定义的策略。SELinux 将拒绝对非标准端口的访问，如下一步中所示：
8. 当客户端通过 Squid 代理（如侦听 TCP 端口 10000 的网站）使用非标准端口发出请求时，会记录类似如下的拒绝：

   SELinux is preventing the squid daemon from connecting to network port 10000
   

9. 要允许此访问，必须修改 squid_connect_any 布尔值，因为它默认是禁用的：

   ~]# setsebool -P squid_connect_any on

   注意

   如果您不希望 setsebool 更改在重新引导后保留，则不要使用 -P 选项。
10. 现在，客户端可以访问 Internet 上的非标准端口，因为现在允许 Squid 代表其客户端发起到任何端口的连接。

1. 查看 mysql 的默认数据库位置的 SELinux 上下文：

   ~]# ls -lZ /var/lib/mysql
   drwx------. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql
   

   这将显示 mysqld_db_t，它是数据库文件的位置的默认上下文元素。此上下文必须手动应用到本示例中将使用的新数据库位置，才能正常工作。
2. 输入以下命令并输入 mysqld root 密码以显示可用的数据库：

   ~]# mysqlshow -u root -p
   Enter password: *******
   +--------------------+
   |     Databases      |
   +--------------------+
   | information_schema |
   | mysql              |
   | test               |
   | wikidb             |
   +--------------------+
   

3. 停止 mysqld 守护进程：

   ~]# systemctl stop mariadb.service

4. 为数据库的新位置创建一个新目录。本例中使用了 /mysql/ ：

   ~]# mkdir -p /mysql

5. 将数据库文件复制到新位置：

   ~]# cp -R /var/lib/mysql/* /mysql/

6. 更改此位置的所有权，以允许 mysql 用户和组访问。这会设置 SELinux 仍然会观察到的传统 Unix 权限：

   ~]# chown -R mysql:mysql /mysql

7. 输入以下命令查看新目录的初始上下文：

   ~]# ls -lZ /mysql
   drwxr-xr-x. mysql mysql unconfined_u:object_r:usr_t:s0   mysql
   

   此新创建的目录的 context usr_t 目前不适用于 SELinux，作为 MariaDB 数据库文件的位置。上下文更改后，MariaDB 将能够在此领域正常工作。
8. 使用文本编辑器打开主 MariaDB 配置文件 /etc/my.cnf，再修改 datadir 选项，使其引用新位置。在本例中，应输入的值为 /mysql ：

   [mysqld]
   datadir=/mysql
   

   保存此文件并退出。
9. 启动 mysqld。该服务应该无法启动，拒绝信息会记录到 /var/log/messages 文件中：

   ~]# systemctl start mariadb.service
   Job for mariadb.service failed. See 'systemctl status postgresql.service' and 'journalctl -xn' for details.
   

   但是，如果 audit 守护进程与 setroubleshoot 服务一起运行，拒绝将记录到 /var/log/audit/audit.log 文件中：

   SELinux is preventing /usr/libexec/mysqld "write" access on /mysql. For complete SELinux messages. run sealert -l b3f01aff-7fa6-4ebe-ad46-abaef6f8ad71
   

   此拒绝的原因是 MariaDB 数据文件未正确标记 /mysql/。SELinux 正在阻止 MariaDB 访问标记为 usr_t 的内容。执行以下步骤解决这个问题：
10. 输入以下命令为 /mysql/ 添加上下文映射：请注意，默认情况下不会安装 semanage 工具。如果您的系统中没有它，请安装 policycoreutils-python 软件包。

    ~]# semanage fcontext -a -t mysqld_db_t "/mysql(/.*)?"

11. 这个映射被写入到 /etc/selinux/targeted/contexts/files/file_contexts.local 文件中：

    ~]# grep -i mysql /etc/selinux/targeted/contexts/files/file_contexts.local
    
    /mysql(/.*)?    system_u:object_r:mysqld_db_t:s0
    

12. 现在，使用 restorecon 工具将这个上下文映射到正在运行的系统：

    ~]# restorecon -R -v /mysql

13. 现在，/mysql/ 位置已标记为 MariaDB 的正确上下文，mysql d 启动：

    ~]# systemctl start mariadb.service

14. 确认 /mysql/ 的上下文已更改：

    ~]$ ls -lZ /mysql
    drwxr-xr-x. mysql mysql system_u:object_r:mysqld_db_t:s0 mysql
    

15. 该位置已被更改并标记，mysqld 已成功启动。此时，应测试所有正在运行的服务，以确认正常运行。