linux定制
1. SElinux定制策略
SELinux定制策略的主要步骤和方法如下:
获取策略源代码:
- 对于FC4和RHEL4等早期版本,系统通常会提供策略源代码的RPM包。
- 从FC5开始,策略版本提升到2.X,并引入了模块概念。此时,系统不再直接提供源代码包,但提供了如audit2allow、semanage和semole等工具用于开发策略模块。
- 若需要安装策略源代码,可以从CVS服务器获取最新的源码。
编译和生成SELinux模块:
- 安装后的源代码目录通常包含定义文件、类型强制执行定义和模块接口定义。
- 在/etc/selinux/refpolicy/src/policy目录下,通过修改build.conf文件和执行make命令来生成SELinux模块。
- 将SELINUXTYPE设为refpolicy,并重启系统以使新策略生效。
开发程序策略:
- 为文件和端口分配类型标签,这是策略的基础部分。
- 设置Type Enforcement,包括Domain迁移和访问许可。这决定了进程能够访问哪些资源。
- 加载策略后,先在permissive模式下运行程序,以便收集违规日志。
- 使用audit2allow等工具分析日志,生成访问许可规则,并不断完善策略。
测试和验证策略:
- 不断在permissive模式下运行程序并检查日志,直到没有违规日志出现。
- 切换到enforcing模式,正式使用策略,并确保系统稳定运行。
修改现有策略模块:
- 对于已有的服务或程序,可以通过修改对应的策略模块来适应新的安全需求。
- 例如,为某个特定工具创建一个新的策略模块,包括定义文件上下文、类型强制执行规则和接口调用。
注意事项: 在开发SELinux策略时,应确保相关SELinux包已更新到最新版本,以避免编译问题。 在修改和测试策略时,应谨慎操作,以避免对系统稳定性造成不利影响。
2. 自己定制的linux系统没有apt-get,如何安装apt-get包
不是所有linux系统都用atp-get安装软件。
一般来说着名的linux系统基本上分两大类:
1.RedHat系列:Redhat、Centos、Fedora等
2.Debian系列:Debian、Ubuntu等
RedHat 系列
1 常见的安装包格式 rpm包,安装rpm包的命令是“rpm -参数”
2 包管理工具 yum
3 支持tar包
Debian系列
1 常见的安装包格式 deb包,安装deb包的命令是“dpkg -参数”
2 包管理工具 apt-get
3 支持tar包
一、yum安装。
yum安装常用软件的命令
#yum check-update
#yum remove 软件包名
#yum install 软件包名
#yum update 软件包名
yum命令常见使用方法
yum -y install 包名(支持*) :自动选择y,全自动
yum install 包名(支持*) :手动选择y or n
yum remove 包名(不支持*)
rpm -ivh 包名(支持*):安装rpm包
rpm -e 包名(不支持*):卸载rpm包
二、apt-get安装。
apt-cache search package 搜索软件包
apt-cache show package 获取包的相关信息,如说明、大小、版本等
sudo apt-get install package 安装包
sudo apt-get install package --reinstall 重新安装包
sudo apt-get -f install 修复安装
sudo apt-get remove package 删除包
sudo apt-get remove package --purge 删除包,包括配置文件等
sudo apt-get update 更新源
sudo apt-get upgrade 更新已安装的包
sudo apt-get dist-upgrade 升级系统
apt-cache depends package 了解使用该包依赖那些包
apt-cache rdepends package 查看该包被哪些包依赖
sudo apt-get build-dep package 安装相关的编译环境
apt-get source package 下载该包的源代码
sudo apt-get clean && sudo apt-get autoclean 清理无用的包
sudo apt-get check 检查是否有损坏的依赖
3. 如何定制自己的linux内核
一 前言
为什么要编译自己的内核?这可能会有各种不同的答案,列举如下:
1 为了研究,学习内核源码。
2 为了支持新的硬件或者打开某项内核功能。
3 升级内核到更新版本。
4 按自己的要求定制和优化内核功能。
如此种种...
折腾不需要理由,这里我就不在多说,下面直接进入主题。
编译方式
编译内核有多种方式,从kernel.org下载选择下载需要的版本的内核源码,
如:linux-2.6.32-rc1.tar.bz2,下载内核源码到/home/user/目录,进入下载目录,解压压缩包。
#cd /home/user/
#tar -xjvf linux-2.6.32-rc1.tar.bz2
二 准备编译环境
开始之前,首先确认下面软件包已经安装(编译中标普华4.0时,直接全部安装CD3可保证此条件)。
* rpmdevtools
* yum-utils
fedora系统可以使用如下命令安装:
#yum install yum-utils rpmdevtools
1. 生成一个rpmbuild命令工作所需的目录树,下面命令可以完成该操作,也可以手动建立目录树。
命令建立:
#rpmdev-setuptree
此命令将会在/usr/src/rpmbuild/目录下生成如下目录结构(如果此位置没有,则可能在当前用户目录下).
# tree /usr/src/rpmbuild/
rpmbuild/
|-- BUILD
|-- RPMS
|-- SOURCES
|-- SPECS
`-- SRPMS
上面部分是rpmbuild的环境建立。rpm
3. 安装内核源码包需要的依赖组件(在此可以跳过此步操作)
su -c 'yum-builddep kernel-<version>.src.rpm'
4.安装内核源码到系统,默认目录在/usr/src/neoshine:
rpm -Uvh kernel-<version>.src.rpm
三 配置内核(生成config配置文件)
下面将介绍如何解开源码包,并修改,配置和重新打包源码
1. 解开源码包并打上所有的补丁到BUILD目录
cd ~/rpmbuild/SPECS
rpmbuild -bp --target=`uname -m` kernel.spec
kernel源码将在这里找到:
/usr/src/neoshine/rpmbuild/BUILD/kernel-<version>/linux-<version>.<arch> directory
配置内核源码
1. 进入内核源码:
cd ~/rpmbuild/BUILD/kernel-2.6.$ver/linux-2.6.$ver.$arch/
2. 复制/boot/config*配置文件到源码目录下,此config文件也可以是已经配好或者其他地方备份的kernel配置文件:
cp /boot/config2.6- 2.6.$ver.$arch .config
3. 先检查kernel配置中新增的选项:
make oldconfig
4. 定制内核功能,关闭initrd支持选项,执行图形化内核配置工具:
make menuconfig
注:在generic setup选项下找到initial RAM system and RAM disk(initramfs and initrd) support 项,取消编译。同时确保跟文件系统对应的驱动和系统所在存储器对应的驱动都已经编译到内核(否则会无法启动系统).
5. 在.config文件第一行改为下面内容(注意:没有此行时,后面的编译会报错)
# i386
6. 拷贝.config到SOURCES/:
cp .config ../SOURCES/config-$arch
四 编译新内核
1. 下面开始准备编译新的内核包
打开SPEC/kernel.spec
vim SPEC/kernel.spec
改变下面行内容,可以定制自己的内核扩展名(如fc10之类):
%define buildid .<自己内核的小版本名>
下一步将生成一个新内核的rpm包,此过程需要编译内核源码包
使用下面命令生成新的内核源码包
rpmbuild -bb --with baseonly --without debuginfo --target=`uname -m` kernel.spec
参数说明:bb表示只编译二进制包,即不生成源码包,without debuginfo 表示没有调试信息,
target=`uname -r`表示生成对应当前平台的内核包
如果上面的命令成功执行完成,那么会在BUILD/i686目录下生成新的内核安装包
五 安装新内核
rpm -ivh kernel-$ver-$arch.rpm
此步操作会自动安装内核到boot目录下,安装对应内核模块到/lib/moles/目录下,并且生成新内核对应的grub引导菜单。
修改grub引导菜单为以下格式
title new kernel
kernel /boot/vmlinuz-$ver-$arch root=/dev/sdax(hdax)
注意,此处不要使用uuid指定跟文件系统(可能会无法挂载根分区而导致内核死机),也不要再加和显示相关的参数(内核不支持对应设置时,只会看到一个黑黑的屏幕)。
至此一个禁用initrd的新内核配置安装完毕!