搭建web服务器的SElinux策略保护 SElinux修改默认端口 安全web服务

 搭建web服务器的SElinux策略保护

方式：参照标准目录，重设新目录的属性。
 chcon  -R  --reference=标准目录   新目录
安全上下文（标签）

例： chcon -R --reference=/var/www/ /webroot

使用自定web更目录

1.修改配置文件/etc/httpd/conf.d/haha.conf <virtualHost *:80> DocumentRoot /webroot ServerName www.baidu.com </virtualHost>

2.创建目录与网页文件 mkdir /webroot echo 我的网页 >/webroot/index.html

3.修改访问控制配置文件，/etc/httpd/conf.d/haha.conf <Directory "/webroot"> Require all granted </Directory>

4.修改SElinux标签值 chcon -R -reference=/var/www /webroot

5.重启服务httpd 6.检测

   SElinux修改默认端口
		 semanage  port  -l |grep httpd  查看允许端口
	semanage  port  -a  -t  http _port _t  -p  tcp 8909(添加8909端口) 
	semanage  port  -d -t  http _port _t  -p  tcp 8909(删除8909端口) 
    
      安全web服务
 安全的超文本协议https端口号为:443
 PKI公钥基础设施
 public  key  infrastructre  公钥基础设施
 公钥:主要用来加密数据
 
 私钥：只要用来解释数据（与相应的公钥匹配）
 
 数字证书：证明拥有者的合法性/权威性
 
 Certificate Authority 数字证书授权中心：
 
 负责证书的申请/审核/颁发/鉴定/撤销等管理工作。 
 
 HTTPS加密web通信（TCP 443端口）
 
 Secure Sockets Layer     安全套接字层
 
 Transport Layer Security 安全传输协议 
 
 实现条件：
1.启用SSL模块支持
2.部署好加密素材：网站服务器的数字证书、网站服务器的私钥。
3.根证书（CA管理机构的证书）

 步骤：
1.安装mod_ssl软件包

2.部署网站的证书
  cd /etc/pki/tls/certs
  wget http://192.168.4.254/pub/tls/certs/www.crt

3.部署网站的根证书
  cd /etc/pki/tls/certs
  wget http://192.168.4.254/pub/baidu-ca.crt

4.部署私钥（用于解密）
  cd /etc/pki/tls/private
  wget http://192.168.4.254/pub/tls/private/www.key

5.修改配置文件/etc/httpd/conf.d/ssl.conf
   <VirtualHost_default_:443>
    DocumentRoot /webroot
    ServerName  www.baidu.com:443
    SSLcertificateFile  /etc/pki/tls/certs/www.crt
    SSLcertificateFile  /etc/pki/tls/private/www.crt
    SSLcertificateFile  /etc/pki/tls/certs/baidu-ca.crt

6.检测
   firefox https://www.baidu.com