搭建web服务器的SElinux策略保护

方式:参照标准目录,重设新目录的属性。
 chcon  -R  --reference=标准目录   新目录
安全上下文(标签)

例: chcon -R --reference=/var/www/ /webroot

使用自定web更目录

1.修改配置文件/etc/httpd/conf.d/haha.conf

DocumentRoot /webroot
ServerName www.baidu.com

2.创建目录与网页文件
mkdir /webroot
echo 我的网页 >/webroot/index.html

3.修改访问控制配置文件,/etc/httpd/conf.d/haha.conf

Require all granted

4.修改SElinux标签值
chcon -R -reference=/var/www /webroot

5.重启服务httpd
6.检测

   SElinux修改默认端口
         semanage  port  -l |grep httpd  查看允许端口
    semanage  port  -a  -t  http _port _t  -p  tcp 8909(添加8909端口) 
    semanage  port  -d -t  http _port _t  -p  tcp 8909(删除8909端口) 

      安全web服务
 安全的超文本协议https端口号为:443
 PKI公钥基础设施
 public  key  infrastructre  公钥基础设施
 公钥:主要用来加密数据

 私钥:只要用来解释数据(与相应的公钥匹配)

 数字证书:证明拥有者的合法性/权威性

 Certificate Authority 数字证书授权中心:

 负责证书的申请/审核/颁发/鉴定/撤销等管理工作。 

 HTTPS加密web通信(TCP 443端口)

 Secure Sockets Layer     安全套接字层

 Transport Layer Security 安全传输协议 

 实现条件:
1.启用SSL模块支持
2.部署好加密素材:网站服务器的数字证书、网站服务器的私钥。
3.根证书(CA管理机构的证书)

 步骤:
1.安装mod_ssl软件包

2.部署网站的证书
  cd /etc/pki/tls/certs
  wget http://192.168.4.254/pub/tls/certs/www.crt

3.部署网站的根证书
  cd /etc/pki/tls/certs
  wget http://192.168.4.254/pub/baidu-ca.crt

4.部署私钥(用于解密)
  cd /etc/pki/tls/private
  wget http://192.168.4.254/pub/tls/private/www.key

5.修改配置文件/etc/httpd/conf.d/ssl.conf
   
    DocumentRoot /webroot
    ServerName  www.baidu.com:443
    SSLcertificateFile  /etc/pki/tls/certs/www.crt
    SSLcertificateFile  /etc/pki/tls/private/www.crt
    SSLcertificateFile  /etc/pki/tls/certs/baidu-ca.crt

6.检测
   firefox https://www.baidu.com