#CentOS7
##systemctl
サービス管理
# systemctl start サービス名
# systemctl stop サービス名
# systemctl restart サービス名
# systemctl status サービス名
設定ファイルとか
/etc/systemd/system/
/usr/lib/systemd/system/
##ログ確認
systemdのログ確認
# journalctl -xe
サービス名でフィルタ
# journalctl -xe -u httpd
##firewalld
ゾーン確認
# firewall-cmd --list-all
# firewall-cmd --list-all --zone ゾーン名
# firewall-cmd --list-all-zones
#SELinux
##SELinux設定
# getenforce
| 設定値 | 説明 |
|---|---|
| enforcing | 有効 |
| permissive | ログ出力のみでアクセス制限はしない |
| disabled | 無効 |
SELinux無効化
設定ファイルでdisabledにして再起動
# vi /etc/sysconfig/selinux
SELINUX=disabled
# reboot
記述を間違うと起動しない事があるので注意
##問題切り分け
permissiveにして確認する
setenforceではdisabledにはできない
# setenforce permissive
または
# /usr/sbin/setenforce 0
元に戻す
# /usr/sbin/setenforce enforcing
# /usr/sbin/setenforce 1
##モジュール作成
SELinuxのログからポリシーモジュール作成。
grep等で切り出してコマンドに渡してやると良い。
# cat /var/log/audit/audit.log | audit2allow -M mypm
# ls -1 mypm.*
mypm.pp <= ポリシーモジュール
mypm.te <= ポリシー定義ファイル
ポリシーモジュールインストール
# semodule -i mypm
ポリシーモジュール削除
# semodule -r mypm.pp
##ログが出ないのにアクセスできない時
ログ出力の抑止ルールがある
# seinfo |grep Dontaudit
Auditallow: 157 Dontaudit: 8030
OFFにする
# semodule -DB
または
# semanage dontaudit off
# seinfo |grep Dontaudit
Auditallow: 157 Dontaudit: 0
これでログが出るはずなのでモジュール作成なりなんなりする。
ログ抑止を元に戻す
# semodule -B
または
# semanage dontaudit on