SELinux服务器不关闭配置 samba的方法

SELinux服务器不关闭配置samba的方法 2010-03-02 10:28 佚名 CSDN 我要评论()

∙摘要：点击一看，是SELinux报警，报警时间与每次客户机访问samba时间一致，估计是SELinux 太严谨的问题，将客户机的错误信息在网上搜索，查找到果然是samba与SELinux冲突的问题。

∙标签：SELinux

∙

限时报名参加“甲骨文全球大会·2010·北京”及“JavaOne和甲骨文开发者大会2010”

给大家推荐一款很不错的SELinux系统很有学习价值，这里我主要讲解SELinux系统的应用，包括介绍SELinux知识等方面。前段时间在实验室的4*4核服务器上安装Samba 服务器，解决了服务器安装的硬件问题后，在服务器上配好了Samba,但在客户机访问Samba 时，显示错误。查看到主机机器上右上方有红色感叹号显示。

点击一看，是SELinux报警，报警时间与每次客户机访问samba时间一致，估计是SELinux太严谨的问题，将客户机的错误信息在网上搜索，查找到果然是samba与SELinux 冲突的问题。

PS：曹老师开始用挂载的方法配NSF时也没配成功，同样是SELinux的问题，关闭后可解决。方法一：关闭SELinux，并修改配置文件，使系统启动时不启动SELinux。（我采用的是这种方法）

1.Disable selinux

2.[root@Jie ~]# vi /etc/sysconfig/selinux

3.# This file controls the state of SELinux on the system.

4.# SELINUX= can take one of these three values:

5.# enforcing - SELinux security policy is enforced.

6.# permissive - SELinux prints warnings instead of enforcing.

7.# disabled - SELinux is fully disabled.

8.SELINUX=enforcing

9.# SELINUXTYPE= type of policy in use. Possible values are:

10.# targeted - Only targeted network daemons are protected.

11.# strict - Full SELinux protection.

12.SELINUXTYPE=targeted

把SELINUX设定为disable, 下次启动系统后将会停止SElinux。Linux核心参数(Kernel Parameter)或者可以在核心参数后加上：selinux=0 （停止）或selinux=1 (开启）参数档案/boot/grub/menu.lst

1.title Fedora Core (

2.6.18-1.2798.fc6)

2.root (hd0,0)

3.kernel /vmlinuz-2.6.18-1.2798.fc6 ro root=LABEL=/ rhgb quiet selinu

x=0

4.initrd /initrd-2.6.18-1.2798.fc6.img

检查SELinux现时况态要知到你现在是否使用SELinux:# getenforce disabled

方法二：不关闭SELinux配置samba的方法（未测试）

将smb.conf中如下这两行启用（去掉行首的；号就可以了）setsebool -P

samba_domain_controller on setsebool -P samba_enable_home_dirs on这两行生效后，自己的home目录就可以正常读写了。

如果想将/home/samba/temp目录设置成完全的共享就应该在字符状态写输入：chcon -t samba_share_t /home/samba/temp 同时不要忘记将/home/samba/temp目录属性设置成777 就可以了。其它和以前的FC版本应该没有什么区别了。

默认的，SELinux禁止网络上对Samba服务器上的共享目录进行写操作，即使你在smb.conf中允许了这项操作。假设你已经配置了共享目录/share并允许用户进行读写，而你又不想关闭SELinux的话，可以试试以下操作：

程序代码:

1.#/usr/sbin/setsebool -P allow_smbd_anon_write=1

2.#chcon -t public_content_rw_t /share

其中第一条语句设置SELinux放行标记了public_content_rw_t的内容，第二条语句把欲共享的/share目录标记为public_content_rw_t。附SELinux资料：selinux简介SElinux 在linux 内核级别上提供了一个灵活的强制访问控制系统(MAC)，这个强制访问控制系统是建立在自由访问控制系统(DAC)之上的。

DAC是指系统的安全访问控制都是由系统管理员root自由管理的，不是系统强制行为MAC运行的时候，比如一个应用程序或者一个线程以某个用户UID或者SUID运行的时候同样对一些其他的对象拥有访问控制限制，比如文件,套接子（sockets）或者其他的线程通过运行SElinux MAC内核可以保护系统不受到恶意程序的侵犯.

或者系统本身的bug不会给系统带来致命影响（把影响限定在一定范围内）SElinux为每一个用户，程序，进程，还有文件定义了访问还有传输的权限。然后管理所有这些对象之间的交互关系

对于SELinux设定的对象全限是可以根据需要在安装时候规定严格程度，或者完全禁用在大多数情况下，SElinux对于用户来说是完全透明的，普通用户根本感觉不到Selinux 的存在，只有系统管理员才需要对这些用户环境，以及策略进行考虑。