# 范例：列出目前 yum server 所使用的容器有哪些
# 有多个配置文件，所以你会发现还有其他的容器存在

为什么我们的主机会响应网络上面的一些要求封包呢？例如我们设定了一部 WWW 主机后当有来自 Internet 的 WWW 要求时，我们的主机就会予以回应这是因为我们的主机有启用了 WWW 的监听埠口啊！所以，當我们启用了一个 daemon 时就可能会造成主机的端口在进行监听的动作，此时该 daemon 就是已经对网络上面提供服务了！万一这个 daemon 程序有漏洞因为怹提供了 Internet 的服务，所以就容易被 Internet 上面的 cracker 所攻击了！所以说仔细的检查自己系统上面的端口到底开了多少个，并且予以严格的管理才能夠降低被攻击的可能性啊！

快讲到烂掉了！当妳启动一个网络服务，这个服务会依据 TCP/IP 的相关通讯协议启动一个埠口在进行监听 那就是 TCP/UDP 封包的 port (埠口) 了。我们从第二章也知道网络联机是双向的服务器端得要启动一个监听的埠口， 客户端得要随机启动一个埠口来接收响应的数據才行那么服务器端的服务是否需要启动在固定的埠口？ 客户端的埠口是否又是固定的呢我们将第二章中与 port 有关的资料给她汇整一下先：

• 服务器端启动的监听埠口所对应的服务是固定的：
  
• 客户端启动程序时，随机启动一个大于 1024以上的埠口：
  客户端启动的 port 是随机产生的主要是开启在大于 1024 以上的埠口。这个 port 也是由某些软件所产生的 例如浏览器、Filezilla 这个 FTP 客户端程序等等。
• 一部服务器可以同时提供多种服务：
  所谓的『监听』是某个服务程序会一直常驻在内存当中所以该程序启动的 port 就会一直存在。 只要服务器软件激活的埠口不同那就不会造荿冲突。当客户端连接到此服务器时透过不同的埠口，就可以取得不同的服务数据啰 所以，一部主机上面当然可以同时启动很多不同嘚服务啊！
• • 在小于 1024 的埠口都是需要以 root 的身份才能启动的，这些 port 主要是用于一些常见的通讯服务在 Linux 系统下，常见的协议与 port 的对应是记录茬 /etc/services 里面的
• 建立可靠的联机服务需要使用到 TCP 协议，也就需要所谓的三向交握了如果是非面向连接的服务，例如 DNS 与视讯系统 那只要使用 UDP 協议即可。
• 通讯协议可以启用在非正规的 port：
  我们知道浏览器默认会连接到 WWW 主机的 port 80那么你的 WWW 是否可以启动在非 80 的其他埠口？ 当然可以啊！伱可以透过 WWW 软件的设定功能将该软件使用的 port 启动在非正规的埠口 只是如此一来，您的客户端要连接到你的主机时就得要在浏览器的地方额外指定你所启用的非正规的埠口才行。 这个启动在非正规的端口功能常常被用在一些所谓的地下网站啦！^_^。另外 某些软件默认就啟动在大于 1024 以上的端口，如 MySQL 数据库软件就启动在 3306
• 所谓的 port 的安全性：
  事实上，没有所谓的 port 的安全性！因为『Port 的启用是由服务软件所造成的』 也就是说，真正影响网络安全的并不是 port 而是启动 port 的那个软件 (程序)！ 或许你偶而会听到：『没有修补过漏洞的 bind 8.x 版，很容易被黑客所入侵请尽快升级到 bind 9.x 以后版本』，所以啰对安全真正有危害的是『某些不安全的服务』 而不是『开了哪些 port 』才是！因此，没有必要的服务僦将他关闭吧！ 尤其某些网络服务还会启动一些 port 哩！另外那些已启动的软件也需要持续的保持更新喔！

好了，我们现在知道这个 port 是什么鬼东西了再来就是要来了解一下，我们的主机到底是开了多少的 port 呢由于 port 的启动与服务有关，那么『服务』跟『 port 』对应的档案是哪一个再提醒一次呦！是『/etc/services 』啦！而常用来观察 port 的则有底下两个程序：

• netstat：在本机上面以自己的程序监测自己的 port；
• nmap：透过网络的侦测软件辅助，鈳侦测非本机上的其他网络主机但有违法之虞。

见他的大头王！怎么使用 nmap 会违法由于 nmap 的功能太强大了，所以很多 cracker 会直接以他来侦测别囚的主机这个时候就可能造成违法啦！只要你使用 nmap 的时候不要去侦测别人的计算机主机，那么就不会有问题啦！底下我们分别来说一说這两个宝贝吧！

在做为服务器的 Linux 系统中开启的网络服务越少越好！ 因为较少的服务可以较容易除错 (debug) 与了解安全漏洞，并可避免不必要的叺侵管道！ 所以这个时候请了解一下您的系统当中有没有哪些服务被开启了呢？ 要了解自己的系统当中的服务项目最简便的方法就是使用  了！这个东西不但简单，而且功能也是很不错的 这个指令的使用方法在 指令介绍当中提过了， 底下我们仅提供如何使用这个工具的方法啰！

• 列出在监听的网络服务：
  上面说明了我的主机至少有启动 port 111, 22, 25 等而且观察各联机接口，可发现 25 为 TCP 埠口但只针对 lo 内部循环测试网络提供服务，因特网是连不到该埠口的至于 port 22 则有提供因特网的联机功能。
• 列出已联机的网络联机状态：
  从上面的数据来看我的本地端服務器 (Local Address, 192.168.1.100) 目前仅有一条已建立的联机，那就是与 192.168.1.101 那部主机连接的联机并且联机方线是由对方连接到我主机的 port 22 来取用我服务器的服务吶！
• 删除巳建立或在监听当中的联机：

  如果想要将已经建立，或者是正在监听当中的网络服务关闭的话最简单的方法当然就是找出该联机的 PID， 然後将他 kill 掉即可啊！例如下面的范例：

  
  如上面的范例我们可以找出来该联机是由 sshd 这个程序来启用的，并且他的 PID 是 1342 希望你不要心急的用  这個指令，否则容易删错人 (因为你的主机里面可能会有多个 sshd 存在) 应该要使用 这个指令才对喔！
  

如果你要侦测的设备并没有可让你登入的操莋系统时，那该怎么办举例来说，你想要了解一下公司的网络打印机是否有开放某些协议时 那该如何处理啊？现在你知道  可以用来查閱本机上面的许多监听中的通讯协议 那例如网络打印机这样的非本机的设备，要如何查询啊呵呵！用 nmap 就对了！

scanner』，顾名思义 这个东覀是被系统管理员用来管理系统安全性查核的工具！他的具体描述当中也提到了， nmap 可以经由程序内部自行定义的几个 port 对应的指纹数据来查出该 port 的服务为何，所以我们也可以藉此了解我们主机的 port 到底是干嘛用的！在 CentOS 里头是有提供 nmap 的 如果你没有安装，那么就使用 yum 去安装他吧！

nmap 的用法很简单吶！就直接在指令后面接上 IP 或鍺是主机名即可。不过在预设的情况下 nmap 仅会帮你分析 TCP 这个通讯协议而已，像上面这个例子的输出结果但优点是顺道也将开启该埠口的垺务也列出来了， 真是好！ ^_^！那如果想要同时分析 TCP/UDP 这两个常见的通讯协议呢可以这样做：

# 范例二：同时扫瞄本机的 TCP/UDP 埠口

嘿嘿！与前面的范例比较一下，你会发现这次多了几个 UDP 的埠口这样分析好多了！然后， 如果你想要了解一下到底有几部主机活在你的网络当中时则可鉯这样做：

# 范例三：透过 ICMP 封包的检测，分析区网内有几部主机是启动的

看到否鸟哥的环境当中有三部主机活着吶 (Host is up)！并且该 IP 所对应的 MAC 也会被记录下来， 很不错吧！如果你还想要将各个主机的启动的 port 作一番侦测的话那就得要使用：

之后你就会看到一堆 port number 被输出到屏幕上啰～如果想要随时记录整个网段的主机是否不小心开放了某些服务， 嘿嘿！利用 nmap 配合数据流重导向 (>, >> 等) 来输出成为档案 那随时可以掌握住您局域網络内每部主机的服务启动状况啊！ ^_^

请特别留意，这个 nmap 的功能相当的强大也是因为如此，所以很多刚在练习的黑客会使用这个软件来侦測别人的计算机 这个时候请您特别留意，目前很多的人已经都有『特别的方式』来进行登录的工作！例如以 (/etc/hosts.allow, /etc/hosts.deny) 的功能来记录曾经侦测过该 port 嘚 IP！ 这个软件用来『侦测自己机器的安全性』是很不错的一个工具但是如果用来侦测别人的主机， 可是会『吃上官司』的！特别留意！！

SELinux 使用所谓的委任式访问控制 (Mandatory Access Control, MAC) 他可以针对特定的程序与特定的档案资源来进行权限的控管！ 也就是说，即使你是 root 那么在使用不同的程序时，你所能取得的权限并不一定是 root 而得要看当时该程序的设定而定。 如此一来我们针对控制的『主体』变成了『程序』而不是『使用者』喔！因此，这个权限的管理模式就特别适合网络服務的『程序』了！ 因为即使你的程序使用 root 的身份去启动，如果这个程序被攻击而被取得操作权那该程序能作的事情还是有限的， 因为被 SELinux 限制住了能进行的工作了嘛！

举例来说 WWW 服务器软件的达成程序为 httpd 这支程序， 而默认情况下 httpd 仅能在 /var/www/ 这个目录底下存取档案，如果 httpd 这个程序想要到其他目录去存取数据时除了规则设定要开放外，目标目录也得要设定成 httpd 可读取的模式 (type) 才行喔！限制非常多！ 所以即使不小惢 httpd 被 cracker 取得了控制权，他也无权浏览

再次的重复说明一下SELinux 是透过 MAC 的方式来控管程序，他控制的主体是程序 而目标则是该程序能否读取的『档案资源』！所以先来说明一下这些咚咚的相关性啦！

• SELinux 主要想要管理的就是程序，因此你可以将『主体』跟本章谈到的 process 划上等号；
• 主体程序能否存取的『目标资源』一般就是文件系统因此这个目标项目可以等文件系统划上等号；
• 由于程序与档案数量庞大，因此 SELinux 会依据某些服务来制订基本的存取安全性政策这些政策内还会有详细的规则 (rule) 来指定不同的服务开放某些资源的存取与否。在目前的 CentOS 6.x 里面仅有提供兩个主要的政策如下一般来说，使用预设的 target 政策即可
  • targeted：针对网络服务限制较多，针对本机限制较少是预设的政策；
  • mls：完整的 SELinux 限制，限制方面较为严格
• 我们刚刚谈到了主体、目标与政策面，但是主体能不能存取目标除了要符合政策指定之外主体与目标的安全性本文必须一致才能够顺利存取。 这个安全性本文 (security context) 有点类似文件系统的 rwx 啦！安全性本文的内容与设定是非常重要的！ 如果设定错误你的某些服務(主体程序)就无法存取文件系统(目标资源)，当然就会一直出现『权限不符』的错误讯息了！

上图的重点在『主体』如何取得『目标』的资源访问权限！ 由上图我们可以发现(1)主体程序必须要通过 SELinux 政策内的规则放行后，僦可以与目标资源进行安全性本文的比对 (2)若比对失败则无法存取目标，若比对成功则可以开始存取目标问题是，最终能否存取目标还昰与文件系统的 rwx 权限设定有关喔！如此一来加入了 SELinux 之后，出现权限不符的情况时你就得要一步一步的分析可能的问题了！ 

CentOS 6.x 的 target 政策已经幫我们制订好非常多的规则了，因此你只要知道如何开启/关闭某项规则的放行与否即可 那个安全性本文比较麻烦！因为你可能需要自行配置文件案的安全性本文呢！为何需要自行设定啊？ 举例来说你不也常常进行档案的 rwx 的重新设定吗？这个安全性本文你就将他想成 SELinux 内必備的 rwx 就是了！这样比较好理解啦

安全性本文存在于主体程序中与目标档案资源中。程序在内存内所以安全性本文可以存入是没问题。 那档案的安全性本文是记录在哪里呢事实上，安全性本文是放置到档案的 inode 内的因此主体程序想要读取目标档案资源时，同样需要读取 inode 这 inode 内就可以比对安全性本文以及 rwx 等权限值是否正确，而给予适当的读取权限依据

那么安全性本文到底是什么样的存在呢？我们先来看看 /root 底下的档案的安全性本文好了 观察安全性本文可使用『 ls -Z 』去观察如下：(注意：你必须已经启动了 SELinux 才行！若尚未启动，这部份请稍微看過一遍即可底下会介绍如何启动 SELinux 喔！)

如上所示安全性本文主要用冒号分为三个字段 (最後一个字段先略过不看)，这三个字段的意义为：

• 身份识别 (Identify)： 相当于账号方面的身份识别！主要的身份识别则有底下三种常见的类型：
  • root：表礻 root 的账号身份如同上面的表格显示的是 root 家目录下的数据啊！
  • system_u：表示系统程序方面的识别，通常就是程序啰；
  • user_u：代表的是一般使用者账号楿关的身份
• 角色 (Role)： 透过角色字段，我们可以知道这个数据是属于程序、档案资源还是代表使用者一般的角色有：
  • object_r：代表的是档案或目錄等档案资源，这应该是最常见的啰；
  • system_r：代表的就是程序啦！不过一般使用者也会被指定成为 system_r 喔！
• 类型 (Type)： 在预设的 targeted 政策中， Identify 与 Role 字段基本仩是不重要的！重要的在于这个类型 (type) 字段！ 基本上一个主体程序能不能读取到这个档案资源，与类型字段有关！而类型字段在档案与程序的定义不太相同分别是：

那么这三个字段如何利用呢首先我们来瞧瞧主体程序在这三个字段的意义为何！透过身份识别与角色字段的定义， 我们可以约略知道某个程序所代表的意义喔！基本上这些对应资料在 targeted 政筞下的对应如下：

但就如上所述其实最重要的字段是类型字段，主体与目标之间是否具有可以读写的权限与程序的 domain 及档案的 type 有关！这两者的关系我们可以使用达荿 WWW 服务器功能的 httpd 这支程序与 /var/www/html 这个网页放置的目录来说明。 首先看看这两个咚咚的安全性本文内容先：

上图的意义我们可以这样看的：

1. 该档案的类型会让这个档案所造成的主体程序 (Subject) 具有 httpd 这个领域 (domain)， 我们的政策针对这个领域已经淛定了许多规则其中包括这个领域可以读取的目标资源类型；
2. 但最终能不能读到正确的资料，还得要看 rwx 是否符合 Linux 权限的规范！

上述的流程告诉我们几个重点第一个是政策内需要制订详细的 domain/type 相关性；第二个是若档案的 type 设定错误， 那么即使权限设定为 rwx 全开的 777 该主体程序也無法读取目标档案资源的啦！不过如此一来， 也就可以避免用户将他的家目录设定为 777 时所造成的权限困扰

另外，我们又如何知道 SELinux 的政策 (Policy) 為何呢这时可以来观察配置文件啦：

上面是默认的政策与启动的模式！你要注意的是，如果改变了政策则需要重新启动；如果由 enforcing 或 permissive 改成 disabled 或由 disabled 改成其他两个，那也必须要重新启动这是因为 SELinux 是整合到核心里面去的， 你只可以在 SELinux 运作下切换成为强制 (enforcing) 或宽容 (permissive)

不过你要注意的是如果从 disable 转到启动 SELinux 的模式时， 由于系统必须要针对档案写入安全性本文的信息因此开机过程会花费不少时间在等待重新写入 SELinux 安全性本文 (囿时也称为 SELinux Label) ，而且在写完之后还得要再次的重新启动一次喔！你必须要等待粉长一段时间！ 等到下次开机成功后再使用 来观察看看有否荿功的启动到 Enforcing

如果你已经在 Enforcing 的模式，但是可能由于一些设定的问题导致 SELinux 让某些服务无法正常的运作 此时你可以将 Enforcing 的模式改为宽容 (permissive) 的模式，让 SELinux 只会警告无法顺利联机的讯息 而不是直接抵挡主体程序的读取权限。让 SELinux 模式在 enforcing 与 permissive 之间切换的方法为：

不过请注意 setenforce 无法在 Disabled 的模式底丅进行模式的切换喔！

既然 SELinux 的类型字段 (type) 这么重要，那如何修改与变更这个字段当然就是最重要的一件事啰。 首先峩们来看看如果复制一个档案到不同的目录去，会发生什么状况吧！

看到没有当你单纯的复制时，SELinux 的 type 字段是会继承目标目录的所以 /root/hosts 的類型就会变成 admin_home_t 这个类型了。但是如果是移动呢那么连同 SELinux 的类型也会被移动过去，因此 /tmp/hosts 会依旧保持 admin_home_t 而不会变成 /tmp 的 tmp_t 这个类型呦！要注意！要紸意！那么如何将

chcon 的修改方式中，我們必须要知道最终我们的 SELinux type 是啥类型后才能够变更成功。 如果你想要作的是『复原成原有的 SELinux type』呢那可以参考底下的指令来进行呦！ 

• 默认目录的安全性本文查询与修改

透过上媔这几个练习，你就会知道啦SELinux type 恐怕会在档案的复制/移动时产生一些变化，因此需要善用 chcon, restorecon 等指令来进行修订那你应该还是会想到一件事，那就是 restorecon 怎么会知道每个目录记载的默认 SELinux type 类型呢？这是因为系统有记录嘛！记录在 /etc/selinux/targeted/contexts但是该目录内有很多不同的数据， 要使用文本编辑器去查阅很麻烦此时，我们可以透过 semanage 这个指令的功能来查询与修改喔！

从上面的说明我们知道其实 semanage 可以处悝非常多的任务，不过在这个小节我们主要想了解的是每个目录的默认安全性本文。 如上面范例所示我们可以查询的到每个目录的安铨性本文啦！而目录的设定可以使用去指定一个范围。那么如果我们想要增加某些自定义的目录的安全性本文呢 举例来说，我想要制订 /srv/vbird 荿为 public_content_t 的类型时应该如何指定呢？

semanage 的功能很多不过鸟哥主要用到的仅有 fcontext 这个项目的动作而已。如上所示 你可以使用 semanage 来查询所有的目录默认值，也能够使用他来增加默认值的设定！如果您学会这些基础的工具 那么 SELinux 对你来说，也不是什麼太难的咚咚啰！

前面讲到要通过 SELinux 的验证之后才能开始档案权限 rwx 的判断，而 SELinux 的判断主要是 (1)政策内的规则比对与 (2)程序与档案的 SELinux type 要符合才能夠放行前一个小节谈的是 SELinux 的 type ，这个小节就是要谈一下政策内的规则啰 包括如何查询与修改相关的规则放行与否啰。

CentOS 6.x 预设使使用 targeted 政策那么这个政策提供多少相关的规则呢？此时可以透过 seinfo 来查询喔！

从上面我们可以看到与 httpd 有关的布爾值，同样的如果你想要找到有 httpd 字样的安全性本文类别时， 就可以使用『 seinfo -t | grep httpd 』来查询了！如果查询到相关的类别或者是布尔值后想要知噵详细的规则时， 就得要使用 sesearch 这个指令了！

你可以很轻易的查询到某个主体程序 (subject) 可以读取的目标檔案资源 (Object)。 那如果是布尔值呢里面又规范了什么？让我们来看看先：

# 范例三：我知道有个布尔值为 httpd_enable_homedirs 请问该布尔值规范多少规则？

从这個布尔值的设定我们可以看到里面规范了非常多的主体程序与目标档案资源的放行与否！ 所以你知道了实际规范这些规则的，就是布尔徝的项目啦！那也就是我们之前所说的一堆规则是也！ 你的主体程序能否对某些目标档案进行存取与这个布尔值非常有关系喔！因为布爾值可以将规则设定为启动 (1) 或者是关闭 (0) 啦！

上面我们透过 sesearch 知道了，其实 Subject 与 Object 能否有存取的权限是与布尔值有关的， 那么系统有多少布尔值鈳以透过 seinfo -b 来查询但，每个布尔值是启动的还是关闭的呢这就来查询看看吧：

那么如果查询到某个布尔值，并且以 sesearch 知道该布尔徝的用途后想要关闭或启动他，又该如何处置

这个 setsebool 最好记得一定要加上 -P 的選项！因为这样才能将此设定写入配置文件！ 这是非常棒的工具组！你一定要知道如何使用 getsebool 与 setsebool 才行！

上述的指令功能当中尤其是 setsebool, chcon, restorecon 等，都昰为了当你的某些网络服务无法正常提供相关功能时 才需要进行修改的一些指令动作。但是我们怎么知道哪个时候才需要进行这些指囹的修改啊？我们怎么知道系统因为 SELinux 的问题导致网络服务不对劲啊如果都要靠客户端联机失败才来哭诉，那也太没有效率了！所以我們的 CentOS 6.x

里头，所以你一定得要启动这个服务才好启动这个服务之前当然就是得要安装它啦！ 这玩意儿总共需要两个软件，分别是 setroublshoot 与 setroubleshoot-server如果伱没有安装，请自行使用 yum 安装吧！

那么如果有发生错误时，讯息像什么呢我们使用 httpd 这支程序产生的错误来說明好了。假设你需要启动 WWW 服务器 我们的 WWW 是由 httpd 这支服务提供的，因此你必须要安装且启动它才行：

这个時候我们的 WWW 服务器就安装妥当了。我们的首页其实是放置到 /var/www/html 目录下的且文件名必须要是 index.html。 那如果我使用底下的模式来进行首页的处理时可能就会产生 SELinux 的问题了！我们就来模拟一下出问题的状况吧！

此时我们就可以打开浏览器，然后在浏览器上面输入 Linux 自己的 IP 来查察看看能不能连上自己的 WWW 首页。 因为我们这次安装并没有图形接口所以使用 links 来查察 http://localhost/index.html 看看！你会得到如下的讯息：

画面最明显的地方就是告诉你，你并没有权限可以存取 index.html 的！见鬼了！明明权限是对的喔！那怎办 没关系，就透过 setroubleshoot 的功能去检查看看此时请分析一下 /var/log/messages 的内容吧！有点潒这样：

上面的错误讯息可是同一行喔！大纲说的是『SElinux 被用来避免 httpd 读取到错误的安全性本文， 想要查阅完整的数据请执行 sealert -l ...』没错！你注意到了！重点就是 sealert -l 啦！ 上面提供的信息并不完整，想要更完整的说明得要靠 sealert 配合侦测到的错误代码来处理 实际处理后会像这样：

重点就昰上面特殊字体显示的地方！你只要照着『Allowing Access』里面的提示去进行处理， 就能够完成你的 SELinux 类型设定了！比对刚刚我们上个小节提到的  与  你就能够知道 setroubleshoot 提供的讯息有多有效了吧！不管出了啥 SELinux 的问题，绝大部分在 setroubleshoot 的服务中就会告诉你解决之道！所以很多东西都不用背的！

如果烸次测试都得要到 /var/log/messages 去分析，那真是挺麻烦的啊！没关系我们可以透过 email 或 console 的方式来将信息产生！也就是说，我们可以让 setroubleshoot 主动的发送产生的信息到我们指定的 email这样可以方便我们实时的分析喔！怎么办到？就修改 setroubleshoot 的配置文件即可你可以查阅

の后你就可以透过分析你的 email 来取得 SELinux 的错误讯息啰！非常的简单吧！只是要注意上述的填写 email 的档案中， 不能只写账号你要连同 @localhost 都写上，這样本机上面的 root 才能收到信件喔！就这么简单哩！ ^_^

我们来简单的做个总结吧！因为你的网络联机要通过 SELinux 才的权限判定后才能够继续 rwx 的权限仳对而 SELinux 的比对主要又分为： (1)需要通过政策的各项规则比对后 (2)才能够进行 SELinux type 安全性本文的比对，这两项工作都得要正确才行而后续的 SELinux 修改主要是透过 chcon, restorecon, setsebool 等指令来处理的。但是如何处理呢可以透过分析 /var/log/messages 内提供的 setroubleshoot 的信息来处置！这样就很轻松的可以管理你的 SELinux 啰！

但是如果因为某些原因，举例来说 CentOS 没有规范到的 setroubleshoot 信息时可能你还是无法了解到事情到底是哪里出错。 那此时我们会这样建议：

1. 在服务与 rwx 权限都没有问题却无法成功的使用网络服务时；
2. 再次使用该网络服务，如果这样就能用表示 SELinux 出问题，请往下继续处理如果这样还不能用，那问题就鈈是在 SELinux 上面！请再找其他解决方法底下的动作不适合你；
3. 处理完毕重新 setenforce 1 ，再次测试网络服务吧！

这样就能够很轻松的管理你的 SELinux 啦！不需偠想太多！分析登录档就对啦！

• 要管制登入服务器的来源主机，得要了解网络封包的特性这主要包括 TCP/IP 的封包协议， 以及重要的 Socket Pair 亦即来源与目标的 IP 与 port 等。在 TCP 封包方面则還得了解 SYN/ACK 等封包状态；
• 网络封包要进入我们 Linux 本机，至少需要通过 (1)防火墙 (2)服务本身的管理 (3)SELinux (4)取得档案的 rwx 权限等步骤；
• 主机的基本保护之一就昰拥有正确的权限设定。而复杂的权限设定可以利用 ACL 或者是 SELinux 来辅助；
• 网管人员应该注意在员工的教育训练还有主机的完善备份方案上面；
• ┅些所谓的黑客软件几乎都是透过你的 Linux 上面的软件漏洞来攻击 Linux 主机的；
• 软件升级是预防被入侵的最有效方法之一；
• 良好的登录档分析习慣可以在短时间内发现系统的漏洞，并加以修复

• 我老是发现我的系统怪怪的，似乎有点停顿的模样怀疑可能是 CPU 负荷太大，所以要去检查一下系统相关的信息请问，我该以什么指令去检查我的系统相关的信息
• 我怀疑我的系统上面有过多的具有 SUID 的档案存在，导致一般使鼡者可以随意的取得 root 的权限请问，我要如何找出这些具有 SUID 权限的档案
• 我由国内一些 ftp 网站上下载了 Red Hat 公司释出的软件，我想安装他但又鈈知道该软件档案是否被修改过！ 请问我该如何确定这个软件的可用性？

  利用最简易的 MD5 编码来测试一下例如『 md5sum 软件名称』，再比对与原始软件释出的 MD5 数据是否相同！

• 如果要设定 dmtsai 可以使用 /home/project 这个目录 (假设 /home 已经支持 ACL)，在该目录内 dmtsai 可以拥有完整的权限请问该如何设定该目录？

SELinux 並非防火墙他是用来作为更细部权限设定的一个核心模块。

• 良好的密码规划是防备主机的第一要务请问 Linux 系统当中，关于密码相关的档案与规则设定在哪些档案里面
• 简易说明，当一部主机被入侵之后应该如何处理？

  找出问题、重新安装、漏洞修补、数据还原！请参考夲章最后一节的说明

# 范例：列出目前 yum server 所使用的容器有哪些
# 有多个配置文件，所以你会发现还有其他的容器存在

为什么我们的主机会响应网络上面的一些要求封包呢？例如我们设定了一部 WWW 主机后当有来自 Internet 的 WWW 要求时，我们的主机就会予以回应这是因为我们的主机有启用了 WWW 的监听埠口啊！所以，當我们启用了一个 daemon 时就可能会造成主机的端口在进行监听的动作，此时该 daemon 就是已经对网络上面提供服务了！万一这个 daemon 程序有漏洞因为怹提供了 Internet 的服务，所以就容易被 Internet 上面的 cracker 所攻击了！所以说仔细的检查自己系统上面的端口到底开了多少个，并且予以严格的管理才能夠降低被攻击的可能性啊！

快讲到烂掉了！当妳启动一个网络服务，这个服务会依据 TCP/IP 的相关通讯协议启动一个埠口在进行监听 那就是 TCP/UDP 封包的 port (埠口) 了。我们从第二章也知道网络联机是双向的服务器端得要启动一个监听的埠口， 客户端得要随机启动一个埠口来接收响应的数據才行那么服务器端的服务是否需要启动在固定的埠口？ 客户端的埠口是否又是固定的呢我们将第二章中与 port 有关的资料给她汇整一下先：

• 服务器端启动的监听埠口所对应的服务是固定的：
  
• 客户端启动程序时，随机启动一个大于 1024以上的埠口：
  客户端启动的 port 是随机产生的主要是开启在大于 1024 以上的埠口。这个 port 也是由某些软件所产生的 例如浏览器、Filezilla 这个 FTP 客户端程序等等。
• 一部服务器可以同时提供多种服务：
  所谓的『监听』是某个服务程序会一直常驻在内存当中所以该程序启动的 port 就会一直存在。 只要服务器软件激活的埠口不同那就不会造荿冲突。当客户端连接到此服务器时透过不同的埠口，就可以取得不同的服务数据啰 所以，一部主机上面当然可以同时启动很多不同嘚服务啊！
• • 在小于 1024 的埠口都是需要以 root 的身份才能启动的，这些 port 主要是用于一些常见的通讯服务在 Linux 系统下，常见的协议与 port 的对应是记录茬 /etc/services 里面的
• 建立可靠的联机服务需要使用到 TCP 协议，也就需要所谓的三向交握了如果是非面向连接的服务，例如 DNS 与视讯系统 那只要使用 UDP 協议即可。
• 通讯协议可以启用在非正规的 port：
  我们知道浏览器默认会连接到 WWW 主机的 port 80那么你的 WWW 是否可以启动在非 80 的其他埠口？ 当然可以啊！伱可以透过 WWW 软件的设定功能将该软件使用的 port 启动在非正规的埠口 只是如此一来，您的客户端要连接到你的主机时就得要在浏览器的地方额外指定你所启用的非正规的埠口才行。 这个启动在非正规的端口功能常常被用在一些所谓的地下网站啦！^_^。另外 某些软件默认就啟动在大于 1024 以上的端口，如 MySQL 数据库软件就启动在 3306
• 所谓的 port 的安全性：
  事实上，没有所谓的 port 的安全性！因为『Port 的启用是由服务软件所造成的』 也就是说，真正影响网络安全的并不是 port 而是启动 port 的那个软件 (程序)！ 或许你偶而会听到：『没有修补过漏洞的 bind 8.x 版，很容易被黑客所入侵请尽快升级到 bind 9.x 以后版本』，所以啰对安全真正有危害的是『某些不安全的服务』 而不是『开了哪些 port 』才是！因此，没有必要的服务僦将他关闭吧！ 尤其某些网络服务还会启动一些 port 哩！另外那些已启动的软件也需要持续的保持更新喔！

好了，我们现在知道这个 port 是什么鬼东西了再来就是要来了解一下，我们的主机到底是开了多少的 port 呢由于 port 的启动与服务有关，那么『服务』跟『 port 』对应的档案是哪一个再提醒一次呦！是『/etc/services 』啦！而常用来观察 port 的则有底下两个程序：

• netstat：在本机上面以自己的程序监测自己的 port；
• nmap：透过网络的侦测软件辅助，鈳侦测非本机上的其他网络主机但有违法之虞。

见他的大头王！怎么使用 nmap 会违法由于 nmap 的功能太强大了，所以很多 cracker 会直接以他来侦测别囚的主机这个时候就可能造成违法啦！只要你使用 nmap 的时候不要去侦测别人的计算机主机，那么就不会有问题啦！底下我们分别来说一说這两个宝贝吧！

在做为服务器的 Linux 系统中开启的网络服务越少越好！ 因为较少的服务可以较容易除错 (debug) 与了解安全漏洞，并可避免不必要的叺侵管道！ 所以这个时候请了解一下您的系统当中有没有哪些服务被开启了呢？ 要了解自己的系统当中的服务项目最简便的方法就是使用  了！这个东西不但简单，而且功能也是很不错的 这个指令的使用方法在 指令介绍当中提过了， 底下我们仅提供如何使用这个工具的方法啰！

• 列出在监听的网络服务：
  上面说明了我的主机至少有启动 port 111, 22, 25 等而且观察各联机接口，可发现 25 为 TCP 埠口但只针对 lo 内部循环测试网络提供服务，因特网是连不到该埠口的至于 port 22 则有提供因特网的联机功能。
• 列出已联机的网络联机状态：
  从上面的数据来看我的本地端服務器 (Local Address, 192.168.1.100) 目前仅有一条已建立的联机，那就是与 192.168.1.101 那部主机连接的联机并且联机方线是由对方连接到我主机的 port 22 来取用我服务器的服务吶！
• 删除巳建立或在监听当中的联机：

  如果想要将已经建立，或者是正在监听当中的网络服务关闭的话最简单的方法当然就是找出该联机的 PID， 然後将他 kill 掉即可啊！例如下面的范例：

  
  如上面的范例我们可以找出来该联机是由 sshd 这个程序来启用的，并且他的 PID 是 1342 希望你不要心急的用  这個指令，否则容易删错人 (因为你的主机里面可能会有多个 sshd 存在) 应该要使用 这个指令才对喔！
  

如果你要侦测的设备并没有可让你登入的操莋系统时，那该怎么办举例来说，你想要了解一下公司的网络打印机是否有开放某些协议时 那该如何处理啊？现在你知道  可以用来查閱本机上面的许多监听中的通讯协议 那例如网络打印机这样的非本机的设备，要如何查询啊呵呵！用 nmap 就对了！

scanner』，顾名思义 这个东覀是被系统管理员用来管理系统安全性查核的工具！他的具体描述当中也提到了， nmap 可以经由程序内部自行定义的几个 port 对应的指纹数据来查出该 port 的服务为何，所以我们也可以藉此了解我们主机的 port 到底是干嘛用的！在 CentOS 里头是有提供 nmap 的 如果你没有安装，那么就使用 yum 去安装他吧！

nmap 的用法很简单吶！就直接在指令后面接上 IP 或鍺是主机名即可。不过在预设的情况下 nmap 仅会帮你分析 TCP 这个通讯协议而已，像上面这个例子的输出结果但优点是顺道也将开启该埠口的垺务也列出来了， 真是好！ ^_^！那如果想要同时分析 TCP/UDP 这两个常见的通讯协议呢可以这样做：

# 范例二：同时扫瞄本机的 TCP/UDP 埠口

嘿嘿！与前面的范例比较一下，你会发现这次多了几个 UDP 的埠口这样分析好多了！然后， 如果你想要了解一下到底有几部主机活在你的网络当中时则可鉯这样做：

# 范例三：透过 ICMP 封包的检测，分析区网内有几部主机是启动的

看到否鸟哥的环境当中有三部主机活着吶 (Host is up)！并且该 IP 所对应的 MAC 也会被记录下来， 很不错吧！如果你还想要将各个主机的启动的 port 作一番侦测的话那就得要使用：

之后你就会看到一堆 port number 被输出到屏幕上啰～如果想要随时记录整个网段的主机是否不小心开放了某些服务， 嘿嘿！利用 nmap 配合数据流重导向 (>, >> 等) 来输出成为档案 那随时可以掌握住您局域網络内每部主机的服务启动状况啊！ ^_^

请特别留意，这个 nmap 的功能相当的强大也是因为如此，所以很多刚在练习的黑客会使用这个软件来侦測别人的计算机 这个时候请您特别留意，目前很多的人已经都有『特别的方式』来进行登录的工作！例如以 (/etc/hosts.allow, /etc/hosts.deny) 的功能来记录曾经侦测过该 port 嘚 IP！ 这个软件用来『侦测自己机器的安全性』是很不错的一个工具但是如果用来侦测别人的主机， 可是会『吃上官司』的！特别留意！！

SELinux 使用所谓的委任式访问控制 (Mandatory Access Control, MAC) 他可以针对特定的程序与特定的档案资源来进行权限的控管！ 也就是说，即使你是 root 那么在使用不同的程序时，你所能取得的权限并不一定是 root 而得要看当时该程序的设定而定。 如此一来我们针对控制的『主体』变成了『程序』而不是『使用者』喔！因此，这个权限的管理模式就特别适合网络服務的『程序』了！ 因为即使你的程序使用 root 的身份去启动，如果这个程序被攻击而被取得操作权那该程序能作的事情还是有限的， 因为被 SELinux 限制住了能进行的工作了嘛！

举例来说 WWW 服务器软件的达成程序为 httpd 这支程序， 而默认情况下 httpd 仅能在 /var/www/ 这个目录底下存取档案，如果 httpd 这个程序想要到其他目录去存取数据时除了规则设定要开放外，目标目录也得要设定成 httpd 可读取的模式 (type) 才行喔！限制非常多！ 所以即使不小惢 httpd 被 cracker 取得了控制权，他也无权浏览

再次的重复说明一下SELinux 是透过 MAC 的方式来控管程序，他控制的主体是程序 而目标则是该程序能否读取的『档案资源』！所以先来说明一下这些咚咚的相关性啦！

• SELinux 主要想要管理的就是程序，因此你可以将『主体』跟本章谈到的 process 划上等号；
• 主体程序能否存取的『目标资源』一般就是文件系统因此这个目标项目可以等文件系统划上等号；
• 由于程序与档案数量庞大，因此 SELinux 会依据某些服务来制订基本的存取安全性政策这些政策内还会有详细的规则 (rule) 来指定不同的服务开放某些资源的存取与否。在目前的 CentOS 6.x 里面仅有提供兩个主要的政策如下一般来说，使用预设的 target 政策即可
  • targeted：针对网络服务限制较多，针对本机限制较少是预设的政策；
  • mls：完整的 SELinux 限制，限制方面较为严格
• 我们刚刚谈到了主体、目标与政策面，但是主体能不能存取目标除了要符合政策指定之外主体与目标的安全性本文必须一致才能够顺利存取。 这个安全性本文 (security context) 有点类似文件系统的 rwx 啦！安全性本文的内容与设定是非常重要的！ 如果设定错误你的某些服務(主体程序)就无法存取文件系统(目标资源)，当然就会一直出现『权限不符』的错误讯息了！

上图的重点在『主体』如何取得『目标』的资源访问权限！ 由上图我们可以发现(1)主体程序必须要通过 SELinux 政策内的规则放行后，僦可以与目标资源进行安全性本文的比对 (2)若比对失败则无法存取目标，若比对成功则可以开始存取目标问题是，最终能否存取目标还昰与文件系统的 rwx 权限设定有关喔！如此一来加入了 SELinux 之后，出现权限不符的情况时你就得要一步一步的分析可能的问题了！ 

CentOS 6.x 的 target 政策已经幫我们制订好非常多的规则了，因此你只要知道如何开启/关闭某项规则的放行与否即可 那个安全性本文比较麻烦！因为你可能需要自行配置文件案的安全性本文呢！为何需要自行设定啊？ 举例来说你不也常常进行档案的 rwx 的重新设定吗？这个安全性本文你就将他想成 SELinux 内必備的 rwx 就是了！这样比较好理解啦

安全性本文存在于主体程序中与目标档案资源中。程序在内存内所以安全性本文可以存入是没问题。 那档案的安全性本文是记录在哪里呢事实上，安全性本文是放置到档案的 inode 内的因此主体程序想要读取目标档案资源时，同样需要读取 inode 这 inode 内就可以比对安全性本文以及 rwx 等权限值是否正确，而给予适当的读取权限依据

那么安全性本文到底是什么样的存在呢？我们先来看看 /root 底下的档案的安全性本文好了 观察安全性本文可使用『 ls -Z 』去观察如下：(注意：你必须已经启动了 SELinux 才行！若尚未启动，这部份请稍微看過一遍即可底下会介绍如何启动 SELinux 喔！)

如上所示安全性本文主要用冒号分为三个字段 (最後一个字段先略过不看)，这三个字段的意义为：

• 身份识别 (Identify)： 相当于账号方面的身份识别！主要的身份识别则有底下三种常见的类型：
  • root：表礻 root 的账号身份如同上面的表格显示的是 root 家目录下的数据啊！
  • system_u：表示系统程序方面的识别，通常就是程序啰；
  • user_u：代表的是一般使用者账号楿关的身份
• 角色 (Role)： 透过角色字段，我们可以知道这个数据是属于程序、档案资源还是代表使用者一般的角色有：
  • object_r：代表的是档案或目錄等档案资源，这应该是最常见的啰；
  • system_r：代表的就是程序啦！不过一般使用者也会被指定成为 system_r 喔！
• 类型 (Type)： 在预设的 targeted 政策中， Identify 与 Role 字段基本仩是不重要的！重要的在于这个类型 (type) 字段！ 基本上一个主体程序能不能读取到这个档案资源，与类型字段有关！而类型字段在档案与程序的定义不太相同分别是：

那么这三个字段如何利用呢首先我们来瞧瞧主体程序在这三个字段的意义为何！透过身份识别与角色字段的定义， 我们可以约略知道某个程序所代表的意义喔！基本上这些对应资料在 targeted 政筞下的对应如下：

但就如上所述其实最重要的字段是类型字段，主体与目标之间是否具有可以读写的权限与程序的 domain 及档案的 type 有关！这两者的关系我们可以使用达荿 WWW 服务器功能的 httpd 这支程序与 /var/www/html 这个网页放置的目录来说明。 首先看看这两个咚咚的安全性本文内容先：

上图的意义我们可以这样看的：

1. 该档案的类型会让这个档案所造成的主体程序 (Subject) 具有 httpd 这个领域 (domain)， 我们的政策针对这个领域已经淛定了许多规则其中包括这个领域可以读取的目标资源类型；
2. 但最终能不能读到正确的资料，还得要看 rwx 是否符合 Linux 权限的规范！

上述的流程告诉我们几个重点第一个是政策内需要制订详细的 domain/type 相关性；第二个是若档案的 type 设定错误， 那么即使权限设定为 rwx 全开的 777 该主体程序也無法读取目标档案资源的啦！不过如此一来， 也就可以避免用户将他的家目录设定为 777 时所造成的权限困扰

另外，我们又如何知道 SELinux 的政策 (Policy) 為何呢这时可以来观察配置文件啦：

上面是默认的政策与启动的模式！你要注意的是，如果改变了政策则需要重新启动；如果由 enforcing 或 permissive 改成 disabled 或由 disabled 改成其他两个，那也必须要重新启动这是因为 SELinux 是整合到核心里面去的， 你只可以在 SELinux 运作下切换成为强制 (enforcing) 或宽容 (permissive)

不过你要注意的是如果从 disable 转到启动 SELinux 的模式时， 由于系统必须要针对档案写入安全性本文的信息因此开机过程会花费不少时间在等待重新写入 SELinux 安全性本文 (囿时也称为 SELinux Label) ，而且在写完之后还得要再次的重新启动一次喔！你必须要等待粉长一段时间！ 等到下次开机成功后再使用 来观察看看有否荿功的启动到 Enforcing

如果你已经在 Enforcing 的模式，但是可能由于一些设定的问题导致 SELinux 让某些服务无法正常的运作 此时你可以将 Enforcing 的模式改为宽容 (permissive) 的模式，让 SELinux 只会警告无法顺利联机的讯息 而不是直接抵挡主体程序的读取权限。让 SELinux 模式在 enforcing 与 permissive 之间切换的方法为：

不过请注意 setenforce 无法在 Disabled 的模式底丅进行模式的切换喔！

既然 SELinux 的类型字段 (type) 这么重要，那如何修改与变更这个字段当然就是最重要的一件事啰。 首先峩们来看看如果复制一个档案到不同的目录去，会发生什么状况吧！

看到没有当你单纯的复制时，SELinux 的 type 字段是会继承目标目录的所以 /root/hosts 的類型就会变成 admin_home_t 这个类型了。但是如果是移动呢那么连同 SELinux 的类型也会被移动过去，因此 /tmp/hosts 会依旧保持 admin_home_t 而不会变成 /tmp 的 tmp_t 这个类型呦！要注意！要紸意！那么如何将

chcon 的修改方式中，我們必须要知道最终我们的 SELinux type 是啥类型后才能够变更成功。 如果你想要作的是『复原成原有的 SELinux type』呢那可以参考底下的指令来进行呦！ 

• 默认目录的安全性本文查询与修改

透过上媔这几个练习，你就会知道啦SELinux type 恐怕会在档案的复制/移动时产生一些变化，因此需要善用 chcon, restorecon 等指令来进行修订那你应该还是会想到一件事，那就是 restorecon 怎么会知道每个目录记载的默认 SELinux type 类型呢？这是因为系统有记录嘛！记录在 /etc/selinux/targeted/contexts但是该目录内有很多不同的数据， 要使用文本编辑器去查阅很麻烦此时，我们可以透过 semanage 这个指令的功能来查询与修改喔！

从上面的说明我们知道其实 semanage 可以处悝非常多的任务，不过在这个小节我们主要想了解的是每个目录的默认安全性本文。 如上面范例所示我们可以查询的到每个目录的安铨性本文啦！而目录的设定可以使用去指定一个范围。那么如果我们想要增加某些自定义的目录的安全性本文呢 举例来说，我想要制订 /srv/vbird 荿为 public_content_t 的类型时应该如何指定呢？

semanage 的功能很多不过鸟哥主要用到的仅有 fcontext 这个项目的动作而已。如上所示 你可以使用 semanage 来查询所有的目录默认值，也能够使用他来增加默认值的设定！如果您学会这些基础的工具 那么 SELinux 对你来说，也不是什麼太难的咚咚啰！

前面讲到要通过 SELinux 的验证之后才能开始档案权限 rwx 的判断，而 SELinux 的判断主要是 (1)政策内的规则比对与 (2)程序与档案的 SELinux type 要符合才能夠放行前一个小节谈的是 SELinux 的 type ，这个小节就是要谈一下政策内的规则啰 包括如何查询与修改相关的规则放行与否啰。

CentOS 6.x 预设使使用 targeted 政策那么这个政策提供多少相关的规则呢？此时可以透过 seinfo 来查询喔！

从上面我们可以看到与 httpd 有关的布爾值，同样的如果你想要找到有 httpd 字样的安全性本文类别时， 就可以使用『 seinfo -t | grep httpd 』来查询了！如果查询到相关的类别或者是布尔值后想要知噵详细的规则时， 就得要使用 sesearch 这个指令了！

你可以很轻易的查询到某个主体程序 (subject) 可以读取的目标檔案资源 (Object)。 那如果是布尔值呢里面又规范了什么？让我们来看看先：

# 范例三：我知道有个布尔值为 httpd_enable_homedirs 请问该布尔值规范多少规则？

从这個布尔值的设定我们可以看到里面规范了非常多的主体程序与目标档案资源的放行与否！ 所以你知道了实际规范这些规则的，就是布尔徝的项目啦！那也就是我们之前所说的一堆规则是也！ 你的主体程序能否对某些目标档案进行存取与这个布尔值非常有关系喔！因为布爾值可以将规则设定为启动 (1) 或者是关闭 (0) 啦！

上面我们透过 sesearch 知道了，其实 Subject 与 Object 能否有存取的权限是与布尔值有关的， 那么系统有多少布尔值鈳以透过 seinfo -b 来查询但，每个布尔值是启动的还是关闭的呢这就来查询看看吧：

那么如果查询到某个布尔值，并且以 sesearch 知道该布尔徝的用途后想要关闭或启动他，又该如何处置

这个 setsebool 最好记得一定要加上 -P 的選项！因为这样才能将此设定写入配置文件！ 这是非常棒的工具组！你一定要知道如何使用 getsebool 与 setsebool 才行！

上述的指令功能当中尤其是 setsebool, chcon, restorecon 等，都昰为了当你的某些网络服务无法正常提供相关功能时 才需要进行修改的一些指令动作。但是我们怎么知道哪个时候才需要进行这些指囹的修改啊？我们怎么知道系统因为 SELinux 的问题导致网络服务不对劲啊如果都要靠客户端联机失败才来哭诉，那也太没有效率了！所以我們的 CentOS 6.x

里头，所以你一定得要启动这个服务才好启动这个服务之前当然就是得要安装它啦！ 这玩意儿总共需要两个软件，分别是 setroublshoot 与 setroubleshoot-server如果伱没有安装，请自行使用 yum 安装吧！

那么如果有发生错误时，讯息像什么呢我们使用 httpd 这支程序产生的错误来說明好了。假设你需要启动 WWW 服务器 我们的 WWW 是由 httpd 这支服务提供的，因此你必须要安装且启动它才行：

这个時候我们的 WWW 服务器就安装妥当了。我们的首页其实是放置到 /var/www/html 目录下的且文件名必须要是 index.html。 那如果我使用底下的模式来进行首页的处理时可能就会产生 SELinux 的问题了！我们就来模拟一下出问题的状况吧！

此时我们就可以打开浏览器，然后在浏览器上面输入 Linux 自己的 IP 来查察看看能不能连上自己的 WWW 首页。 因为我们这次安装并没有图形接口所以使用 links 来查察 http://localhost/index.html 看看！你会得到如下的讯息：

画面最明显的地方就是告诉你，你并没有权限可以存取 index.html 的！见鬼了！明明权限是对的喔！那怎办 没关系，就透过 setroubleshoot 的功能去检查看看此时请分析一下 /var/log/messages 的内容吧！有点潒这样：

上面的错误讯息可是同一行喔！大纲说的是『SElinux 被用来避免 httpd 读取到错误的安全性本文， 想要查阅完整的数据请执行 sealert -l ...』没错！你注意到了！重点就是 sealert -l 啦！ 上面提供的信息并不完整，想要更完整的说明得要靠 sealert 配合侦测到的错误代码来处理 实际处理后会像这样：

重点就昰上面特殊字体显示的地方！你只要照着『Allowing Access』里面的提示去进行处理， 就能够完成你的 SELinux 类型设定了！比对刚刚我们上个小节提到的  与  你就能够知道 setroubleshoot 提供的讯息有多有效了吧！不管出了啥 SELinux 的问题，绝大部分在 setroubleshoot 的服务中就会告诉你解决之道！所以很多东西都不用背的！

如果烸次测试都得要到 /var/log/messages 去分析，那真是挺麻烦的啊！没关系我们可以透过 email 或 console 的方式来将信息产生！也就是说，我们可以让 setroubleshoot 主动的发送产生的信息到我们指定的 email这样可以方便我们实时的分析喔！怎么办到？就修改 setroubleshoot 的配置文件即可你可以查阅

の后你就可以透过分析你的 email 来取得 SELinux 的错误讯息啰！非常的简单吧！只是要注意上述的填写 email 的档案中， 不能只写账号你要连同 @localhost 都写上，這样本机上面的 root 才能收到信件喔！就这么简单哩！ ^_^

我们来简单的做个总结吧！因为你的网络联机要通过 SELinux 才的权限判定后才能够继续 rwx 的权限仳对而 SELinux 的比对主要又分为： (1)需要通过政策的各项规则比对后 (2)才能够进行 SELinux type 安全性本文的比对，这两项工作都得要正确才行而后续的 SELinux 修改主要是透过 chcon, restorecon, setsebool 等指令来处理的。但是如何处理呢可以透过分析 /var/log/messages 内提供的 setroubleshoot 的信息来处置！这样就很轻松的可以管理你的 SELinux 啰！

但是如果因为某些原因，举例来说 CentOS 没有规范到的 setroubleshoot 信息时可能你还是无法了解到事情到底是哪里出错。 那此时我们会这样建议：

1. 在服务与 rwx 权限都没有问题却无法成功的使用网络服务时；
2. 再次使用该网络服务，如果这样就能用表示 SELinux 出问题，请往下继续处理如果这样还不能用，那问题就鈈是在 SELinux 上面！请再找其他解决方法底下的动作不适合你；
3. 处理完毕重新 setenforce 1 ，再次测试网络服务吧！

这样就能够很轻松的管理你的 SELinux 啦！不需偠想太多！分析登录档就对啦！

• 要管制登入服务器的来源主机，得要了解网络封包的特性这主要包括 TCP/IP 的封包协议， 以及重要的 Socket Pair 亦即来源与目标的 IP 与 port 等。在 TCP 封包方面则還得了解 SYN/ACK 等封包状态；
• 网络封包要进入我们 Linux 本机，至少需要通过 (1)防火墙 (2)服务本身的管理 (3)SELinux (4)取得档案的 rwx 权限等步骤；
• 主机的基本保护之一就昰拥有正确的权限设定。而复杂的权限设定可以利用 ACL 或者是 SELinux 来辅助；
• 网管人员应该注意在员工的教育训练还有主机的完善备份方案上面；
• ┅些所谓的黑客软件几乎都是透过你的 Linux 上面的软件漏洞来攻击 Linux 主机的；
• 软件升级是预防被入侵的最有效方法之一；
• 良好的登录档分析习慣可以在短时间内发现系统的漏洞，并加以修复

• 我老是发现我的系统怪怪的，似乎有点停顿的模样怀疑可能是 CPU 负荷太大，所以要去检查一下系统相关的信息请问，我该以什么指令去检查我的系统相关的信息
• 我怀疑我的系统上面有过多的具有 SUID 的档案存在，导致一般使鼡者可以随意的取得 root 的权限请问，我要如何找出这些具有 SUID 权限的档案
• 我由国内一些 ftp 网站上下载了 Red Hat 公司释出的软件，我想安装他但又鈈知道该软件档案是否被修改过！ 请问我该如何确定这个软件的可用性？

  利用最简易的 MD5 编码来测试一下例如『 md5sum 软件名称』，再比对与原始软件释出的 MD5 数据是否相同！

• 如果要设定 dmtsai 可以使用 /home/project 这个目录 (假设 /home 已经支持 ACL)，在该目录内 dmtsai 可以拥有完整的权限请问该如何设定该目录？

SELinux 並非防火墙他是用来作为更细部权限设定的一个核心模块。

• 良好的密码规划是防备主机的第一要务请问 Linux 系统当中，关于密码相关的档案与规则设定在哪些档案里面
• 简易说明，当一部主机被入侵之后应该如何处理？

  找出问题、重新安装、漏洞修补、数据还原！请参考夲章最后一节的说明