鲜甜IT.Net

关注IT产业,同享鲜甜资源-分享互联网新鲜事物的第一尝鲜者

关于getsebool和setsebool

setsebool命令是用来修改SElinux策略内各项规则的布尔值。setsebool命令和getsebool命令是SELinux修改和查询布尔值的一套工具组。

SELinux的策略与规则管理相关命令:seinfo命令、sesearch命令、getsebool命令、setsebool命令、semanage命令。

语法
setsebool [-P] 布尔值=[0|1]选项
-P:直接将设置值写入配置文件,该设置数据将来会生效的。实例

允许vsvtp匿名用户写入权限:

setsebool -P allow_ftpd_anon_write=1

如果你希望你的ftp用户可以访问自己的家目录的话,需要开启:

setsebool -P ftp_home_dir 1

如果你希望将vsftpd以daemon的方式运行的话,需要开启:

setsebool -P ftpd_is_daemon 1

你可以让SElinux停止保护vsftpd的daemon方式动行:

setsebool -P ftpd_disable_trans 1

HTTP被设置允许cgi的设置:

setsebool -P httpd_enable_cgi 1

允许用户HHTP访问其家目录,该设定限仅于用户的家目录主页:

setsebool -P httpd_enable_homedirs 1 -R -t httpd_sys_content_t ~user/public_html

允许httpd访问终端:

setsebool -P httpd_tty_comm 1

关闭Selinux的关于httpd进程守护的保护:

setsebool -P httpd_disable_trans 1  httpd restart

关于named、master更新selinux设定:

setsebool -P named_write_master_zones 1

关闭named的进程守护保护:

setsebool -P named_disable_trans 1 service named restart

Selinux将本机的NFS共享设置成只读:

setsebool -P nfs_export_all_ro 1

SElinux将本机的NFS共享设置成可读可写:

setsebool -P nfs_export_all_rw 1

如果你想要将远程NFS的家目录共享到本机,需要开启:

setsebool -P use_nfs_home_dirs 1

如果samba服务器共享目录给多个域,则需要:

setsebool -P allow_smbd_anon_write=1

samba服务器要共享家目录时:

setsebool -P samba_enable_home_dirs 1

如果你需在本机上使用远程samba服务器的家目录:

setsebool -P use_samba_home_dirs 1

关闭selinux关于samba的进程守护的保护:

setsebool -P smbd_disable_trans 1 service smb restart

允许rsync其他用户写入时:

setsebool -P allow_rsync_anon_write=1

停止rsync的进程保护

setsebool -P rsync_disable_trans 1

允许系统使用kerberos:

setsebool -P allow_kerberos 1

系统工作在nis环境时:

setsebool -P allow_ypbind 1


CentOS6.5 64位 搭建FTP服务器

1. 在root权限下,通过如下命令安装Vsftp(以centos 系统为例)。

[root@VM_250_202_tlinux ~]# yum install vsftpd


2. 在启动vsftpd服务之前,需要登录云服务器修改配置文件,将匿名登录禁用掉。
打开配置文件,命令如下:

[root@VM_250_202_tlinux ~]# vim /etc/vsftpd/vsftpd.conf

在配置文件中第11行的“anonymous_enable=YES”改为“anonymous_enable=NO”,即将匿名登录禁用。

3. 读取生效配置。

[root@VM_250_202_tlinux ~]# cat /etc/vsftpd/vsftpd.conf |grep ^[^#] 
local_enable=YES
write_enable=YES
local_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES


4. 启动vsftpd服务。

[root@VM_250_202_tlinux ~]# service vsftpd start


5. 设置FTP用户账号。设置成功后,即可通过该账号登录FTP服务器。
(1)设置FTP用户的账号,例如账号为“ftpuser1”,目录为/home/ftpuser1,且设置不允许通过ssh登录。

[root@VM_250_202_tlinux ~]# useradd -m -d /home/ftpuser1 -s /sbin/nologin ftpuser1

(2)设置账号对应的密码,例如密码为“ftpuser1”。

[root@VM_250_202_tlinux ~]# passwd ftpuser1


6. 修改vsftpd的pam配置,使用户可以通过自己设置的FTP用户帐号和密码连接到云服务器。
(1)修改pam。

[root@VM_250_202_tlinux ~]# vim /etc/pam.d/vsftpd

内容修改为:(根据我本地主机配置修改)

auth       requiredpam_listfile.so item=user sense=deny file=/etc/fto  onerr=succeed
auth       required     pam_unix.so  shadow nullok
auth       requiredpam_shells.so
account    requiredpam_unix.so
session    required      pam_unix.so
或者是下面的内容(官网教程上)

#%PAM-1.0
auth required /lib64/security/pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth required /lib64/security/pam_unix.so shadow nullok
auth required /lib64/security/pam_shells.so 
account required /lib64/security/pam_unix.so 
session required /lib64/security/pam_unix.so 

(2)确认修改后的文件是否正确。

[root@VM_250_202_tlinux ~]# cat /etc/pam.d/vsftpd
#%PAM-1.0
auth required /lib64/security/pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth required /lib64/security/pam_unix.so shadow nullok
auth required /lib64/security/pam_shells.so 
account required /lib64/security/pam_unix.so 
session required /lib64/security/pam_unix.so 

(3)重启vsftpd服务,使修改生效。

[root@VM_250_202_tlinux ~]# service vsftpd restart
Shutting down vsftpd: [ OK ]
Starting vsftpd for vsftpd: [ OK ]

优化或修改CentOS最大连接数限制

系统环境:CentOS + Tomcat + NginX + node.JS + MySQL

  当我们在架设高可用服务器环境时会遇到来自于系统级别的连接数限制问题,这是因为CentOS根据系统硬件信息自己默认初始了一个限制连接数量,往往这个数量是我们遇到的问题,所以今天我们需要修改系统的默认值来达到我们需要的要求,解决一定的高并发产生的连接数问题。

  使用以下命令查看当前最大连接数:

[root@HA ~]# ulimit -n 1024

  可以看出来,系统默认的设置,只有1024个并发连接数。

修改以下配置文件:

vim /etc/security/limits.conf

[root@HA ~]# vi /etc/security/limits.conf 

*       soft    nofile  65535

*       hard    nofile  65535

*       soft    nproc  65535

*       hard    nproc  65535

在配置文件中添加以上内容。

编辑/etc/pam.d/login

# vi /etc/pam.d/loginsession    required     pam_limits.so

在配置文件中添加以上内容
将以上保存好,然后重启服务器,再使用ulimit -n 

# ulimit -n 65535

OK,连接数优化完成!

NTFS For Mac官方正版免费激活方法步骤

NTFS for Mac一直是Mac OS平台上最受欢迎的NTFS硬盘格式读取工具,有了NTFS for Mac,安装了双系统的Mac用户可以在OS X系统下直接读取和写入windows系统下的NTFS硬盘格式,解决了双系统下,硬盘格式互相不兼容的问题。但是NTFS for Mac作为一款商业软件,其正版软件一直都需要花费不小的金额来购买序列号进行激活,官方针对较老的版本开放了免费激活。

1、此次Paragon公司推出NTFS for Mac免费计划,针对个人用户,您只需要前往NTFS for Mac 12 Special Edition 版本注册页面就可以注册成为NTFS免费计划的一员。

2、在用户注册区域填写好您的个人信息、邮箱,国家,语言版本等,注意名字必须为英文,大家可以使用汉语拼音填写,填写后提交即可。

3、提交完成后,Paragon官方会发送一封认证邮件到您所填写的电子邮箱。

4、打开电子邮箱我们就可以看到,NTFS for Mac的官方正版序列号已经发送到您的手上了,赶紧下载安装进行激活吧!

移动设备上最佳SSH客户端:Server Auditor

没有电脑在身边的时候,或者考虑安全性问题,我们会有需求使用移动设备来管理自己的Linux远程服务器或是VPS,几年用下来,还是决定为大家推荐这款SSH客户端:Server Auditor。各大主流平台都有对应版本:Android/iOS/手机/平板。

使用很简单,完全可以满足轻度移动端远程操作服务器的需求。看图:






新年愿望


为Linux安装web远程管理工具Ajenti

  Linux远程维护绝对是一件单调而繁琐的事情。满屏的字母在飞,看起来也完全没有任何值得喜悦的体验。

  所以有不少系统管理员都希望能有一个图形界面,来完成对服务器的管理维护和例行检查。

  Ajenti是一款基于Web的开源系统管理控制面板,可用于通过Web浏览器,管理远程系统管理性任务,这一点与Webmin模块非常相似。Ajenti是一款功能非常强大的轻型工具,它提供了快速的、反应灵敏的Web界面,可用于管理小型服务器环境,还最适合虚拟专用服务器(VPS)和专门服务器。它随带许多预制的插件,可用于配置和监控服务器软件和服务,比如Apache、计划任务(Cron)、文件系统、防火墙、MySQL、Nginx、Munin、Samba、FTP和Squid,以及其他许多工具,比如文件管理器(File Manager)、面向开发人员的代码编辑器(Code Editor)和终端访问。Quick automatic install (CentOS 6 / RHEL6)


  看起来不错吧?服务器的状态一目了然。现在,开始在你的服务器上安装吧:

  记得安装完后在防火墙里放行端口号:8000,在浏览器中通过https协议访问。

1、官方站点:http://ajenti.org/

2、Debian自动安装(要求Debian 6以上,如果是Debian 5要求已安装Python 2.6 ):

wget -O- https://raw.github.com/Eugeny/ajenti/master/scripts/install-debian.sh | sh

3、Debian手动安装:

wget http://repo.ajenti.org/debian/key -O- | apt-key add -

echo "deb http://repo.ajenti.org/debian main main debian" >> /etc/apt/sources.list

apt-get update && apt-get install ajenti

service ajenti restart

4、Ubuntu自动安装:

wget -O- https://raw.github.com/Eugeny/ajenti/master/scripts/install-ubuntu.sh | sudo sh

5、Ubuntu手动安装:

wget http://repo.ajenti.org/debian/key -O- | sudo apt-key add -

sudo echo "deb http://repo.ajenti.org/ng/debian main main ubuntu" >> /etc/apt/sources.list

sudo apt-get update && sudo apt-get install ajenti

sudo service ajenti restart

ufw allow 8000

6、CentOS/RHEL自动安装:

curl https://raw.githubusercontent.com/Eugeny/ajenti/master/scripts/install-rhel.sh | sh  #CentOS 6 / RHEL6

curl https://raw.githubusercontent.com/Eugeny/ajenti/master/scripts/install-rhel7.sh | sh  #CentOS 7 / RHEL7

7、CentOS/RHEL手动安装:

wget http://repo.ajenti.org/ajenti-repo-1.0-1.noarch.rpm

rpm -i ajenti-repo-1.0-1.noarch.rpm

yum install ajenti

service ajenti restart

8、错误解决办法:

yum clean metadata  #Package does not match intended download

iptables -A INPUT -p tcp --dport 8000 -j ACCEPT #CentOS / RHEL 6无法打开8000端口

firewall-cmd --permanent --zone=public --add-port=8000/tcp #CentOS / RHEL 7 无法打开8000端口

firewall-cmd --reload

9、Ajenti安装过程不到一分钟,默认的账号和密码是root和Admin。



各位大牛可以加我的群了。

怀念周末