Linux 第九周學習筆記（1） SElinux,系統恢復

####selinux的初級管理

1.概念

selinux：內核級增強型防火牆

 

2.如何管理selinux級別

selinux開啓或者關閉

vim /etc/sysconfig/selinux

selinux=disabled##關閉狀態

selinux=Enforcing##強制狀態

selinux=Permissive##警告狀態

說明：

關閉狀態：selinux不干擾任何進程

強制狀態：selinux開啓

警告狀態：selinux開啓，對敏感操做發出警告，但不干擾系統進程，讓你下次別這樣作。

getenforce##查看狀態

 

當selinux開啓時

setenforce 0|1##更改selinux運行級別

說明：0表示警告模式 ，1爲強制模式

 

 

3.安全上下文

查看安全上下文：ls -Z

 

a.什麼安全上下文

安全上下文時一個簡單的，一致的訪問控制屬性，在selinux中，類型標識符三安全上下文的重要組成部分，因爲歷史緣由，一個進程的類型一般被成爲一個域（domain），因爲「域」和「」域「的意思都同樣，，即都是安全上下文中的」type」

b.更改安全上下文的方法（臨時更改）

chcon -t 安全上下文文件

chcon -t public_content_t /publicftp -R   ##-R表示第歸

 

c.永久更改安全上下文

semanage fcontext -l##列出內核安全上下文列表內容

semanage fcontext -a -t public_content_t '/publicftp(/.*)?'

restorecon -FvvR /publicftp/

參數說明：

-i：忽略不存在的文件

-f：iffilename文件infilename中記錄的要處理的文件

-e：排除目錄

-R/-r：遞歸處理目錄

-n：不改變文件標籤

-o：保存文件列表到outfilename，在文件不正確的狀況下

-v：顯示過程到屏幕上

-F：強制恢復文件安全語境

4.如何控制selinux對服務功能的開關

getsebool -a | grep 服務名稱

getsebool -a | grep ftp

setsebool -P 功能bool值 on|off

setsebool -Pftpd_anon_write on   ####此處-P表示永久性，注意P爲大寫

5.監控selinux的錯誤信息

setroubleshoot-server

 

 

 

###############系統恢復########

 

1.系統啓動流程

通電

 ||

bios(主板上的只讀存儲中，basic input or output system)

做用，硬件檢測，激活硬件

||

grub系統引導（grub引導分爲兩個階段）

Troublemaker part1

執行：dd if=/dev/zero of=/dev/vda bs=446 count=1

1）階段1 mbr（主引導記錄）主引導記錄在硬盤上的0磁道，一扇區，446個字節

 

*）dd if=/dev/zero of=/dev/vda bs=446 count=1 能夠清空mbr

*）進入到挽救模式，執行chroot /mnt/sysp_w_picpath切換到真實/環境，

   並執行grub2-install /dev/vda

虛擬機視圖以下；

一直卡在從硬盤引導過程當中，由於系統開機時，首先讀取的是mbr（master boot record）

大小爲446個字節。因爲咱們以前將這個mbr給截取了。系統不知道接下來該讀取那裏，因而就會卡在這裏.

解決方法：

將原來的虛擬機強制關機

在虛擬系統管理器中進行以下操做：

1.找到系統盤的原始鏡像（pxe網絡引導也能夠）。添加一個cdrom盤。選擇光盤引導

再次開啓虛擬機，進入挽救模式

一直下一步。

最後到命令行模式：進行以下操做：

Chroot  /mnt/sysp_w_picpath    ###切換到真實環境

 

Chroot 要exit 兩次才表示徹底退出。而後關閉虛擬機，從硬盤啓動

這時通過兩次啓動以後，系統就恢復好了。

 

2）階段2 grub文件引導階段

   找到/boot分區

   讀取/boot/grub2/grub.cfg

   文件丟失，grub2-mkconfig >/boot/grub2/grub.cfg

Troublemaker part2

grub文件引導的配置文件在：/boot/grub2/grub.cfg

當咱們刪除這個文件後：rm -fr /boot/grub2/grub.cfg

在重啓以前均可以執行：grub2-mkconfig >/boot/grub2/grub.cfg 從新生成這個文件

 

重啓以後，顯示以下界面

 

解決方法：（不用進入挽救模式）

 

 

手動引導grub（grub> set root='hd0,msdos1' grub> linux16 /boot/vmlinuz-3.10.0-123. el7.x86_64 ro root=/dev/vda1

grub> initrd16 /boot/initramfs-3.10.0-123.el7.x86_64.img

grub> boot

 

這樣問題就解決了

   ||

啓動內核，只讀掛載/設備

檢測設備

對設備驅動進行初始化

進入系統初始化階段

內核丟失，重新安裝內核安裝包就能夠解決

rpm -ivh kernel-xxxxx.rpm --force

Troublemaker part3 刪除內核

執行命令：

Rm -fr /boot/vmlinuz-3.10.0-123. el7.x86_64

解決方法：

關閉故障虛擬機。將引導方式改成光盤引導

再打開虛擬機，進入挽救模式

解決方式如圖所示，（從新安裝內核，這一方式適用於一切內核故障問題，簡單粗暴）

rpm -ivh kernel-xxxxx.rpm --force

 

如此以來，系統就恢復了

||

系統初始化階段

系統初始化階段加載initrd鏡像

開啓初始化進程systemd

開始selinux

加載內核參數

初始化系統時鐘，鍵盤，主機名稱

從新讀寫掛載/設備

激活raid，lvm

激活配額

Troublemaker part4 initrd鏡像缺失

rm -fr /boot/initramfs-3.10.0-123.el7.x86_64.img

解決方法：

關閉虛擬機，進入挽救模式

執行以下命令：

 

 

 

啓動multi-user.target.wants中的全部服務

開啓虛擬控制檯

啓動圖形

 

圖形起不來

解決辦法：

 

 

 

改密碼

在系統啓動時按e

進入以下界面

 

執行ctrl+x

 

手動修改密碼便可