Linux 的 kernel 会把开机日子存储在 ring buffer 和 /var/log/message 中，其中 ring buffer 里的开机日志可以使用 dmesg 来查看，如果开机时的提示信息来不及查看的话，可以通过 dmesg 命令来查看

内容二：dmesg 的选项

1) -c 显示 ring buffer 的日志后清空 ring buffer
2) -n 显示日志的层级
3) -cn 显示 ring buffer 的日志后清空 ring buffer，同时显示日志的层级
4) -s 设置缓冲区的大小，默认为 8196 与 ring buffer 的大小一样

内容三：dmesg 命令的使用案例
3.1 查看所有开机日志

# dmesg | less

3.2 查看所有日志，显示 ring buffer 的日志后清空 ring buffer，同时显示日志的层级

# dmesg -cn

3.3 查看所有失败的开机日志

# dmesg | egrep -i "fail|warn|error"

在 SELinuxProject 的官网上下载 SELinux 策略 UseRefpolicy：

https://github.com/SELinuxProject/refpolicy/wiki/UseRefpolicy

注意：

1) 如果使用此文的方法将 openSUSE&SUSE 的 SELinux 设置为 Enforcing 则系统将无法设置 IP 地址
2) 如果使用此文的方法开启了 SELinux 并且将所有的布尔（boolean）值开启，则系统将无法关机，开启所有布尔值的方法：# for i in semanage boolean -l | awk '{print $1}'; do echo $i;setsebool -P $i 1; done

正文：

步骤目录：

步骤一：安装 SELinux 组件

步骤二：安装 SELinux 策略
2.1 解压包含 SELinux 策略的压缩包
2.2 将 SELinux 策略移动到 SELinux 配置文件的位置
2.3 进入到和 SELinux 策略相同目录下
2.4 查看 SELinux 策略的安装手册
2.5 创建 SELinux 策略的配置文件
2.6 创建 SELinux 策略
2.7 编译 SELinux 策略
2.8 安装 SELinux 策略

步骤三：配置 SELinux 配置文件
3.1 在 SELinux 配置文件中将 SELinux 设置为 Permissive 状态
3.2 在系统内核中禁止使用 AppArmor 使用 SELinux 并且将 SELinux状态设置为 Permissive
3.2.1 设置 grub 文件
3.2.2 让刚刚设置的 grub 文件生效
3.3 刷新系统内所有文件的标签

步骤四：重启系统让 SELinux 生效

具体的操作步骤：

步骤一：安装 SELinux 组件

# zypper in libselinux1 libsemanage1 libsepol-devel libsepol1 libselinux-devel mcstrans libselinux1-32bit policycoreutils checkpolicy libsemanage-devel setools-tcl setools-libs setools-java setools-devel setools-console selinux-tools python3-policycoreutils python3-selinux python3-semanage python3-setools restorecond

步骤二：安装 SELinux 策略
2.1 解压包含 SELinux 策略的压缩包

# tar -xvf refpolicy-2.20210203.tar.bz2

（补充：这里以解压 refpolicy-2.20210203.tar.bz2 压缩包为例）

2.2 将 SELinux 策略移动到 SELinux 配置文件的位置

# mv refpolicy /etc/selinux/

2.3 进入到和 SELinux 策略相同目录下

# cd /etc/selinux/refpolicy/

2.4 查看 SELinux 策略的安装手册

# cat INSTALL

2.5 创建 SELinux 策略的配置文件

# make conf

2.6 创建 SELinux 策略

# make policy

2.7 编译 SELinux 策略

# make install

2.8 安装 SELinux 策略

# make load

步骤三：配置 SELinux 配置文件
3.1 在 SELinux 配置文件中将 SELinux 设置为 Permissive 状态

# vim /etc/selinux/config

创建以下内容：

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=refpolicy

3.2 在系统内核中禁止使用 AppArmor 使用 SELinux 并且将 SELinux状态设置为 Permissive
3.2.1 设置 grub 文件

# vim /etc/default/grub

在这一行里：

GRUB_CMDLINE_LINUX_DEFAULT="......"

添加以下内容：

GRUB_CMDLINE_LINUX_DEFAULT="...... security=selinux selinux=1 enforcing=0"

3.2.2 让刚刚设置的 grub 文件生效

# grub2-mkconfig -o /boot/grub2/grub.cfg

3.3 刷新系统内所有文件的标签

# restorecon -Rp /

步骤四：重启系统让 SELinux 生效

# reboot

参考文献：

https://documentation.suse.com/sles/15-SP2/html/SLES-all/cha-selinux.html

内容一：SELinux 的状态

内容二：永久切换 SELinux 状态
2.1 将 SELinux 永久切换至 Disabled 状态
2.1.1 修改 SELinux 配置文件
2.1.2 重启系统
2.1.3 查看 SELinux 状态
2.2 将 SELinux 永久切换至 Permissive 状态
2.2.1 修改 SELinux 配置文件
2.2.2 重启系统
2.2.3 查看 SELinux 状态
2.3 将 SELinux 永久切换至 Enforcing 状态
2.3.1 修改 SELinux 配置文件
2.3.2 重启系统
2.3.3 查看 SELinux 状态

内容三：临时切换 SELinux 状态
3.1 临时切换到 Permissive 状态
3.1.1 临时切换到 Permissive 状态
3.1.2 查看 SELinux 状态
3.2 临时切换到 Enforcing 状态
3.2.1 临时切换到 Enforcing 状态
3.2.2 查看 SELinux 状态

具体的内容：

内容一：SELinux 的状态

1) Disabled：完全关闭 SELinux
2) Permissive：即使违反了策略也依旧可以执行，但是违反策略的记录会被记录在日志中
3) Enforcing：如果违反了策略就不能之行

内容二：永久切换 SELinux 状态
2.1 将 SELinux 永久切换至 Disabled 状态
2.1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=disabled
......

2.1.2 重启系统

# reboot

2.1.3 查看 SELinux 状态

# getenforce 
Disabled

2.2 将 SELinux 永久切换至 Permissive 状态
2.2.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=permissive
......

2.2.2 重启系统

# reboot

2.2.3 查看 SELinux 状态

# getenforce 
Permissive

2.3 将 SELinux 永久切换至 Enforcing 状态
2.3.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=......
......

修改为：

......
SELINUX=enforcing
......

2.3.2 重启系统

# reboot

2.3.3 查看 SELinux 状态

# getenforce 
Enforcing

内容三：临时切换 SELinux 状态
3.1 临时切换到 Permissive 状态
3.1.1 临时切换到 Permissive 状态

# setenfoce 0

（
注意：
1) 系统重启后失效
2) 只能从 Enforcing 状态切换到 Permissive 状态
）

3.1.2 查看 SELinux 状态

# getenforce 
Permissive

3.2 临时切换到 Enforcing 状态
3.2.1 临时切换到 Enforcing 状态

# setenfoce 1

（
注意：
1) 系统重启后失效
2) 只能从 Permissive 状态切换到 Enforcing 状态
）

3.2.2 查看 SELinux 状态

# getenforce 
Enforcing

步骤一：规划拓扑
1.1 服务器列表
1.2 服务器列表简介

步骤二：系统环境要求

步骤三：配置 rsyslog 服务端
3.1 修改 rsyslog 配置文件的案例
3.1.1 案例一
3.1.2 案例二
3.1.3 案例三
3.1.4 案例四
3.1.5 案例五
3.2 重启 rsyslog 服务

步骤四：配置 rsyslog 客户端
4.1 修改 rsyslog 客户端的案例
4.2 重启 rsyslog 服务

步骤五：测试 rsyslog 服务
5.1 在 rsyslog 客户端上发送日志
5.2 在 rsyslog 服务端上查看日志

具体的操作步骤：

步骤一：规划拓扑
1.1 服务器列表

rsyslog 服务端 IP 地址:192.168.0.11
rsyslog 客户端 IP 地址:192.168.0.12

1.2 服务器列表简介

rsyslog 客户端将日志发送给 rsyslog 服务端，并实现分文件存储

步骤二：系统环境要求

1) 所有服务器的系统都需要是 CentOS 8 版本
2) 所有服务器都要关闭防火墙
3) 所有服务器都要关闭 SELinux
4) 需要按照拓扑图给对应的服务器配置好 IP 地址和主机名
5) 所有服务器都要可以相互 ping 通自己和对方的 IP 地址和主机名

步骤三：配置 rsyslog 服务端
3.1 修改 rsyslog 配置文件的案例
3.1.1 案例一

（只在 rsyslog 服务端执行以下步骤）

# vim /etc/rsyslog.conf

添加以下内容：

......
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")

（
补充：
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 此配置会将所有 rsyslog 客户端的日志存储在 rsyslog 服务端的 /var/log/message 里
）

3.1.2 案例二

（只在 rsyslog 服务端执行以下步骤）

# vim /etc/rsyslog.conf

添加以下内容：

......
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")

$template DynFile,"/var/log/%HOSTNAME%.log"
*.* -?DynFile
& ~

（
补充：
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 此配置会将每个 rsyslog 客户端的日志单独存储在 /var/log/ 下的一个文件里，此文件会以其所属系统名命名
）

3.1.3 案例三

（只在 rsyslog 服务端执行以下步骤）

# vim /etc/rsyslog.conf

添加以下内容：

......
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")

$template DynFile,"/var/log/remotelog/%HOSTNAME%-%$YEAR%-%$MONTH%-%$DAY%-messages.log"
*.* -?DynFile
& ~

（
补充：
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 此配置会将每个 rsyslog 客户端的日志单独存储在 /var/log/remotelog 下的一个文件里，此文件会以其创建时间和其所属系统名命名
）

3.1.4 案例四

（只在 rsyslog 服务端执行以下步骤）

# vim /etc/rsyslog.conf

添加以下内容：

......
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")

$template DynFile,"/var/log/remotelog/%HOSTNAME%-%$YEAR%-%$MONTH%-%$DAY%-messages.log"
:fromhost-ip,!isequal,"127.0.0.1" -?DynFile
& ~

（
补充：
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 此配置会将每个 rsyslog 客户端的日志单独存储在 /var/log/ 下的一个文件里，此文件会以其创建时间和其所属系统名命名
4) 此配置不会单独存储 rsyslog 服务端的日志
）

3.1.5 案例五

（只在 rsyslog 服务端执行以下步骤）

# vim /etc/rsyslog.conf

添加以下内容：

......
module(load="imudp")
input(type="imudp" port="514")
module(load="imtcp")
input(type="imtcp" port="514")

$template DynFile,"/var/log/syslog/system-%HOSTNAME%/messages.log"
*.* -?DynFile
& ~

（
补充：
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 此配置会将每个 rsyslog 客户端的日志单独存储在 /var/log/ 下某个目录的 messages 文件里，此目录会以其所属系统名命名
）

3.2 重启 rsyslog 服务

（只在 rsyslog 服务端执行以下步骤）

# systemctl restart rsyslog

（
补充：
1) 使用 UDP 的 514 端口接收日志
2) 使用 TCP 的 514 端口接收日志
3) 需要在 3.1 修改 rsyslog 配置文件的案例中任选其一完成后在执行此步骤
）

步骤四：配置 rsyslog 客户端
4.1 修改 rsyslog 客户端的案例

（只在 rsyslog 客户端执行以下步骤）

# vim /etc/rsyslog.conf

添加以下内容：

......
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info  @192.168.0.11

或者：

......
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info  @@192.168.0.11

（
补充：
1) 这里的 192.168.0.11 是指 rsyslog 服务端的 IP 地址
2) IP 地址前一个 “@” 符后是指使用 UDP 端口 514 传输日志
3) IP 地址前两个 “@” 符后是指使用 TCP 端口 514 传输日志
）

4.2 重启 rsyslog 服务

（只在 rsyslog 客户端执行以下步骤）

# systemctl restart rsyslog

步骤五：测试 rsyslog 服务
5.1 在 rsyslog 客户端上发送日志

（只在 rsyslog 客户端执行以下步骤）

# logger "This is our test log"

（补充：这里以发送 This is our test log 信息为例）

5.2 在 rsyslog 服务端上查看日志

（只在 rsyslog 服务端执行以下步骤）

# cat /var/log/* | grep test

在所有规则后面添加以下两条规则：

......
# iptables -A INPUT -i -p tcp -j LOG --log-prefix "IPTABLES TCP IN: " 
# iptables -A INPUT -i -p tcp -j DROP

（补充：这里以记录进来的数据并将 IPTABLES TCP IN: 作为前缀保存日志为例）

1.2 案例二：让日志记录未匹配任何规则的 UDP 数据包，之后再将其丢弃的方法

在所有规则后面添加以下两条规则：

...... 
# iptables -A INPUT -i -p tcp -j LOG --log-prefix "IPTABLES TCP OUT: " 
# iptables -A INPUT -i -p tcp -j DROP

（补充：这里以记录进来的数据并将 IPTABLES TCP OUT: 作为前缀保存日志为例）

1.3 案例三：让日志记录未匹配任何规则的 ICMP 数据包，之后再将其丢弃的方法

在所有规则后面添加以下两条规则：

...... 
# iptables -A INPUT -i -p tcp -j LOG --log-prefix "IPTABLES TCP ICMP: " 
# iptables -A INPUT -i -p tcp -j DROP

（补充：这里以记录进来的数据并将 IPTABLES TCP ICMP: 作为前缀保存日志为例）

内容二：查看 iptables 防火墙日志的方法

# cat /log/var/message

内容一：开启 SELinux 标签
1.1 修改 SELinux 配置文件
1.2 重启系统

内容二：SELinux 的常见特性
2.1 SELinux 特性一：创建的文件或目录会自动继承其父目录的 SELinux 标签
2.1.1 在 /var/www/html/ 目录下新创建 index.html 文件
2.1.2 查看 /var/www/html/ 目录的 SELinux 标签
2.1.3 查看新生成的 /var/www/html/index.html 标签
2.2 SELinux 特性二：移动文件或目录和保留属性复制文件或目录不会改变其 SELinux 标签，普通复制会改变 SELinux 标签
2.2.1 在 /tmp/ 目录下新创建 file1，file2，file3 文件
2.2.2 查看 ls -Zd /tmp/ 目录的 SELinux 标签
2.2.3 查看新创建文件的标签
2.2.4 将 /tmp/file1 复制到 /var/www/html/
2.2.5 将 /tmp/file2 移动到 /var/www/html/
2.2.6 将 /tmp/file2 复制到 /var/www/html/，并使用 -a 选项保留文件属性
2.2.7 查看这些文件的 SELinux 标签

内容三：查看某个文件或目录 SELinux 标签
3.1 查看某个文件 SELinux 标签
3.2 查看某个目录 SELinux 标签
3.3 查看某个进程 SELinux 标签

内容四：查看所有 SELinux 标签
4.1 查看所有文件和目录的 SELinux 标签
4.2 查看所有端口的 SELinux 标签
4.3 查看所有进程的 SELinux 标签

内容五：设置 SELinux 标签
5.1 设置文件和目录 SELinux 标签
5.1.1 使用 semanage fcontext 命令和 restorecon 命令设置文件和目录的 SELinux 标签
5.1.1.1 semanage fcontext 命令的常用选项
5.1.1.2 使用 semanage fcontext 命令和 restorecon 命令设置文件和目录的 SELinux 标签
5.1.1.2.1 使用 smanage fcontext 命令设置 SELinux 标签
5.1.1.2.2 使用 restorecon 命令修改默认上下文
5.1.2 使用 chcon 命令设置 SELinux 标签
5.2 设置端口 SELinux

具体的内容：

内容一：开启 SELinux 标签
1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=disabled
......

修改为：

......
SELINUX=enforcing
......

或者：

......
SELINUX=perssive
......

1.2 重启系统

# reboot

内容二：SELinux 的常见特性
2.1 SELinux 特性一：创建的文件或目录会自动继承其父目录的 SELinux 标签
2.1.1 在 /var/www/html/ 目录下新创建 index.html 文件

# echo website > /var/www/html/index.html

（补充：这里以在 /var/www/html/ 目录下生成 index.html 文件为例）

2.1.2 查看 /var/www/html/ 目录的 SELinux 标签

# ls -dZ /var/www/html/
unconfined_u:object_r:httpd_sys_content_t:s0 index.html

2.1.3 查看新生成的 /var/www/html/index.html 标签

# ls -Z /var/www/html/index.html/index.html 
unconfined_u:object_r:httpd_sys_content_t:s0 index.html

（补充：从内容 1.1.2 和内容 1.1.3 命令的结果可以看出新生成的文件或其父目录的 SELinux 标签一致）

2.2 SELinux 特性二：移动文件或目录和保留属性复制文件或目录不会改变其 SELinux 标签，普通复制会改变 SELinux 标签
2.2.1 在 /tmp/ 目录下新创建 file1，file2，file3 文件

# touch /tmp/file{1,2,3}

2.2.2 查看 ls -Zd /tmp/ 目录的 selinux 标签

# ls -Zd /tmp/
unconfined_u:object_r:user_tmp_t:s0 /tmp/

2.2.3 查看新创建文件的标签

# ls -Z /tmp/file*
unconfined_u:object_r:user_tmp_t:s0 /tmp/file1  unconfined_u:object_r:user_tmp_t:s0 /tmp/file2
unconfined_u:object_r:user_tmp_t:s0 /tmp/file3

2.2.4 将 /tmp/file1 复制到 /var/www/html/

# cp /tmp/file1 /var/www/html/

2.2.5 将 /tmp/file2 移动到 /var/www/html/

# mv /tmp/file2 /var/www/html/

2.2.6 将 /tmp/file2 复制到 /var/www/html/，并使用 -a 选项保留文件属性

# cp -a /tmp/file3 /var/www/html/

2.2.7 查看这些文件的 SELinux 标签

# ls -Z /var/www/html/file*
unconfined_u:object_r:httpd_sys_content_t:s0 file1           unconfined_u:object_r:user_tmp_t:s0 file3
unconfined_u:object_r:user_tmp_t:s0 file2

（补充：从内容 2.2.3 和内容 2.2.7 命令的结果可以看出只有普通复制会改变 SELinux 标签 ）

内容三：查看某个文件、目录或进程 SELinux 标签
3.1 查看某个文件 SELinux 标签

# ls -Z <file>

3.2 查看某个目录 SELinux 标签

# ls -Zd <directory>

3.3 查看某个进程 SELinux 标签

# ps -auxZ | grep <process>

内容四：查看所有 SELinux 标签
4.1 查看所有文件和目录的 SELinux 标签

# semanage fcontext -l

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

4.2 查看所有端口的 SELinux 标签

# semanage port -l

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

4.3 查看所有进程的 SELinux 标签

# ps -auxZ

内容五：设置 SELinux 标签
5.1 设置文件和目录 SELinux 标签
5.1.1 使用 semanage fcontext 命令和 restorecon 命令设置文件和目录的 SELinux 标签
5.1.1.1 semanage fcontext 命令的常用选项

1) -a 添加或变更 SELinux 标签
2) -d 删除 SELinux 标签
3) -l 查看所有的 SELinux 标签
4) -t 指定上下文 SELinux 标签
5) -v 显示修改 SELinux 标签的内容
6) -R 递归设置 SELinux 标签
7) -m 变更 SELinux 标签

5.1.1.2 使用 semanage fcontext 命令和 restorecon 命令设置文件和目录的 SELinux 标签
5.1.1.2.1 使用 smanage fcontext 命令设置 SELinux 标签

# semanage fcontext -a -t httpd_sys_content_t "/tmp(/.*)?"

（补充：这里以将 /tmp(/.*) 的 SELinux 标签设置为 httpd_sys_content_t 为例）

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

5.1.1.2.2 使用 restorecon 命令修改默认上下文

# restorecon -Rv /tmp
Relabeled /tmp from unconfined_u:object_r:default_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0

5.1.2 使用 chcon 命令设置 SELinux 标签

# chcon -t httpd_sys_content_t /tmp/*

（补充：这里以将 /tmp/* 的 SELinux 标签设置为 httpd_sys_content_t 为例）

5.2 设置端口 SELinux

# semanage port -a -t http_port_t -p tcp 82

（补充：这里以将 TCP 82 端口的 SELinux 标签设置为 http_port_t 为例）

（注意：需要单独安装 policycoreutils-python-utils 后才能使用 semanage 命令）

（
补充：
1) /etc/logrotate.d/messages 这个配置文件里的设置会影响到日志文件 /var/log/messages
2) 在配置文件里添加 /var/log/secure 参数则代表会将 /var/log/secure 日志文件里的内容添加到 /var/log/messages 日志文件里
3) 在配置文件里添加 delaycompress 参数则代表会将归档的日志进行压缩
4) 在配置文件里添加 rotate 5 参数则代表只会保留最近的 5 次的日志压缩文件
5) 在配置文件里添加 weekly 参数则代表每周会压缩一次日志文件
6) 在配置文件里添加 create 755 root root 参数则代表日志文件的所属主和所属组都是 root，权限是 755
）

步骤一：查看原来的 last 记录

步骤二：清除原来的 last 记录
2.1 确认原有 last 记录的日志文件
2.2 将原有 last 记录的日志文件移走
2.3 创建新的 last 记录的日志文件
2.4 给新创建的 last 记录的日志文件对应的权限

步骤三：查看 last 记录有没有被成功清除

具体的操作步骤：

步骤一：查看原来的 last 记录

# last

步骤二：清除原来的 last 记录
2.1 确认原有 last 记录的日志文件

# ls -arlt /var/log/wtmp
-rw-rw-r--. 1 root utmp 294920 Jul 20 09:57 lastlog

2.2 将原有 last 记录的日志文件移走

# mv /var/log/wtmp /var/log/wtmp.backup

2.3 创建新的 last 记录的日志文件

# touch /var/log/wtmp

2.4 给新创建的 last 记录的日志文件对应的权限

# chown root:utmp /var/log/wtmp

步骤三：查看 last 记录有没有被成功清除

# last

wtmp begins Mon Jul 20 10:07:11 2020

内容一：开启 SELinux 布尔（boolean）值
1.1 查看当前 SELinux 状态
1.2 将 SELinux 的状态设置为 Enforcing 以开启布尔（boolean）值
1.2.1 当当前 SELinux 的状态为 Disabled 时开启布尔（boolean）值的方法
1.2.1.1 修改 SELinux 配置文件
1.2.1.2 重启系统
1.2.2 当当前 SELinux 的状态为 Perssive 时开启布尔（boolean）值的方法

内容二：查看所有 SELinux 布尔（boolean）值

内容三：布尔（boolean）值的管理
3.1 允许某一个 SELinux 布尔（boolean）值开启
3.1.1 临时允许某一个 SELinux 布尔（boolean）值开启
3.1.1.1 临时允许某一个 SELinux 布尔（boolean）值开启的格式
3.1.1.2 临时允许某一个 SELinux 布尔（boolean）值开启的案例
3.1.2 永久允许某一个 SELinux 布尔（boolean）值开启
3.1.2.1 永久允许某一个 SELinux 布尔（boolean）值开启的格式
3.1.2.2 永久允许某一个 SELinux 布尔（boolean）值开启的案例
3.2 取消某一个 SELinux 布尔（boolean）值开启
3.2.1 临时取消某一个 SELinux 布尔（boolean）值开启
3.2.1.1 临时取消某一个 SELinux 布尔（boolean）值开启的格式
3.2.1.2 临时取消某一个 SELinux 布尔（boolean）值开启的案例
3.2.2 永久取消某一个 SELinux 布尔（boolean）值关闭
3.2.2.1 永久取消某一个 SELinux 布尔（boolean）值开启的格式
3.2.2.2 永久取消某一个 SELinux 布尔（boolean）值开启的案例

具体的操作步骤：

内容一：开启 SELinux 布尔（boolean）值
1.1 查看当前 SELinux 状态

# getenforce

1.2 将 SELinux 的状态设置为 Enforcing 以开启布尔（boolean）值
1.2.1 当当前 SELinux 的状态为 Disabled 时开启布尔（boolean）值的方法
1.2.1.1 修改 SELinux 配置文件

# vim /etc/selinux/config

将以下内容：

......
SELINUX=disabled
......

修改为：

......
SELINUX=enforcing
......

1.2.1.2 重启系统

# reboot

1.2.2 当当前 SELinux 的状态为 Perssive 时开启布尔（boolean）值的方法

# setenfoce 1

（补充：系统重启后失效）

内容二：查看所有 SELinux 布尔（boolean）值

# semanage boolean -l

内容三：布尔（boolean）值的管理
3.1 允许某一个 SELinux 布尔（boolean）值开启
3.1.1 临时允许某一个 SELinux 布尔（boolean）值开启
3.1.1.1 临时允许某一个 SELinux 布尔（boolean）值开启的格式

# setsebool <boolean value> 1

或者：

# setsebool <boolean value> on

3.1.1.2 临时允许某一个 SELinux 布尔（boolean）值开启的案例

# setsebool httpd_can_network_connect 1

或者：

# setsebool httpd_can_network_connect on

3.1.2 永久允许某一个 SELinux 布尔（boolean）值开启
3.1.2.1 永久允许某一个 SELinux 布尔（boolean）值开启的格式

# setsebool -P <boolean value> 1

或者：

# setsebool -P <boolean value> on

3.1.2.2 永久允许某一个 SELinux 布尔（boolean）值开启的案例

# setsebool -P httpd_can_network_connect 1

或者：

# setsebool -P httpd_can_network_connect on

3.2 取消某一个 SELinux 布尔（boolean）值开启
3.2.1 临时取消某一个 SELinux 布尔（boolean）值开启
3.2.1.1 临时取消某一个 SELinux 布尔（boolean）值开启的格式

# setsebool <boolean value> 0

或者：

# setsebool <boolean value> off

3.2.1.2 临时取消某一个 SELinux 布尔（boolean）值开启的案例

# setsebool httpd_can_network_connect 0

或者：

# setsebool httpd_can_network_connect off

3.2.2 永久取消某一个 SELinux 布尔（boolean）值关闭
3.2.2.1 永久取消某一个 SELinux 布尔（boolean）值开启的格式

# setsebool -P <boolean value> 0

或者：

# setsebool -P <boolean value> off

3.2.2.2 永久取消某一个 SELinux 布尔（boolean）值开启的案例

# setsebool -P httpd_can_network_connect 0

或者：

# setsebool -P httpd_can_network_connect off

服务器系统配置好可用的软件源

步骤二：安装 cockpit

# yum -y install cockpit cockpit-dashaboard

（补充：cockpit 是管理单台主机的程序，cockpit-dashaboard 是管理多台主机的程序）

步骤三：启动 cockpit

# systemctl start cockpit

步骤四：登录 cockpit

使用浏览器登录：https://<服务器的/ IP 地址>:9090

# histroy

（注意：默认情况下 history 只会记录 1000 条历史命令）

1.2 查看 Linux 已归档的历史命令

# cat ~/.bash_history

内容二：使用 Linux 历史命令
2.1 直接使用第 23 条历史命令

# !23

2.2 直接使用最近的一条以 h 开头的历史命令

# !h

开启 core dump 之后，如果出现了 C 语言程序的 crash，则会将 crash 的结果记录到一个文件里

步骤二：临时开启 core dump
2.1 设置可生成 core dump 大小的参数
2.1.1 查看当前允许生成 core dump 的大小

# ulimit -a
core file size          (blocks, -c) 0
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 31722
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 31722
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

2.1.2 将允许生成 core dump 大小的参数设置为无限大

# ulimit -c unlimited

2.1.3 确认修改结果

# ulimit -a
core file size          (blocks, -c) unlimited
data seg size           (kbytes, -d) unlimited
scheduling priority             (-e) 0
file size               (blocks, -f) unlimited
pending signals                 (-i) 31722
max locked memory       (kbytes, -l) 64
max memory size         (kbytes, -m) unlimited
open files                      (-n) 1024
pipe size            (512 bytes, -p) 8
POSIX message queues     (bytes, -q) 819200
real-time priority              (-r) 0
stack size              (kbytes, -s) 8192
cpu time               (seconds, -t) unlimited
max user processes              (-u) 31722
virtual memory          (kbytes, -v) unlimited
file locks                      (-x) unlimited

2.2 设置 core dump 生成的位置

# sysctl -w kernel.core_pattern=/tmp/corefile/core-%e-%p

步骤三：此时如果有 C 语言的程序 crash 了，则会被自动记录

# last -n 10

或者：

# last -10

案例二：指定 btmp 为查询文件

# last -10 -f /var/log/btmp

案例三：将 IP 地址转换为主机

# last -10 -d

案例四：显示 2019 年 10 月 10 日之前的 10 条记录

# last -10 -t 201910100000

案例五：显示最后一次重启的时间

# last | grep reboot | head -1

或者：

# last reboot | head -1

案例六：显示最后一次关机的时间

# last | grep -i shutdown | head -1

案例七：显示系统运行等级的变化

# last -x | grep runlevel

（补充：这里 -x 的作用是把系统运行等级的改变也输出出来）

/var/log/messages

内容二：查看系统对应优先级的日志的方法

# grep -i <priority> /var/log/messages

内容三：日志消息的优先级

（注意：优先级是按照从紧急到无所谓的顺序进行排列的）

内容一：journalctl 日志工具的常用用法
1.1 查看包含某一个服务名的关键字的日志
1.2 查看某一个服务某一个优先级的日志
1.3 查看某一个编号的日志
1.4 查看从某一个日期开始到某一个日期结束的日志

内容二：journalctl 日志工具的使用案例
2.1 案例一：列出最近 5 条重要程度在 ERR 及以上的日志信息
2.2 案例二：列出所有与服务 httpd 相关的日志信息
2.3 案例三：列出前 5 个小时内的日志信息
2.4 案例四：在紧急模式下查看系统日志

具体的内容：

内容一：journalctl 日志工具的常用用法
1.1 查看包含某一个服务名的关键字的日志

# journalctl | grep <server name keywords>

1.2 查看某一个服务某一个优先级的日志

# journalctl -u <service> -p <priority>

1.3 查看某一个编号的日志

# journalctl -n <number of messages>

1.4 查看从某一个日期开始到某一个日期结束的日志

# journalctl --since="<yyyy-mm-dd> <HH:MM:SS>" --until="<yyyy-mm-dd> <HH:MM:SS>"

内容二：journalctl 日志工具的使用案例
2.1 案例一：列出最近 5 条重要程度在 ERR 及以上的日志信息

# journalctl -p err -n 5

2.2 案例二：列出所有与服务 httpd 相关的日志信息

# journalctl -u httpd

2.3 案例三：列出前 5 个小时内的日志信息

# journalctl --since "2019-05-01 14:00" --until "2019-05-01 19:00"

2.4 案例四：在紧急模式下查看系统日志

# journalctl -xb