搭建web服务器的SElinux策略保护
方式:参照标准目录,重设新目录的属性。
chcon -R --reference=标准目录 新目录
安全上下文(标签)
例: chcon -R --reference=/var/www/ /webroot
使用自定web更目录
1.修改配置文件/etc/httpd/conf.d/haha.conf <virtualHost *:80> DocumentRoot /webroot ServerName www.baidu.com </virtualHost>
2.创建目录与网页文件 mkdir /webroot echo 我的网页 >/webroot/index.html
3.修改访问控制配置文件,/etc/httpd/conf.d/haha.conf <Directory "/webroot"> Require all granted </Directory>
4.修改SElinux标签值 chcon -R -reference=/var/www /webroot
5.重启服务httpd 6.检测
SElinux修改默认端口
semanage port -l |grep httpd 查看允许端口
semanage port -a -t http _port _t -p tcp 8909(添加8909端口)
semanage port -d -t http _port _t -p tcp 8909(删除8909端口)
安全web服务
安全的超文本协议https端口号为:443
PKI公钥基础设施
public key infrastructre 公钥基础设施
公钥:主要用来加密数据
私钥:只要用来解释数据(与相应的公钥匹配)
数字证书:证明拥有者的合法性/权威性
Certificate Authority 数字证书授权中心:
负责证书的申请/审核/颁发/鉴定/撤销等管理工作。
HTTPS加密web通信(TCP 443端口)
Secure Sockets Layer 安全套接字层
Transport Layer Security 安全传输协议
实现条件:
1.启用SSL模块支持
2.部署好加密素材:网站服务器的数字证书、网站服务器的私钥。
3.根证书(CA管理机构的证书)
步骤:
1.安装mod_ssl软件包
2.部署网站的证书
cd /etc/pki/tls/certs
wget http://192.168.4.254/pub/tls/certs/www.crt
3.部署网站的根证书
cd /etc/pki/tls/certs
wget http://192.168.4.254/pub/baidu-ca.crt
4.部署私钥(用于解密)
cd /etc/pki/tls/private
wget http://192.168.4.254/pub/tls/private/www.key
5.修改配置文件/etc/httpd/conf.d/ssl.conf
<VirtualHost_default_:443>
DocumentRoot /webroot
ServerName www.baidu.com:443
SSLcertificateFile /etc/pki/tls/certs/www.crt
SSLcertificateFile /etc/pki/tls/private/www.crt
SSLcertificateFile /etc/pki/tls/certs/baidu-ca.crt
6.检测
firefox https://www.baidu.com