SELinux 的安全防護(hù)措施主要集中在各種網(wǎng)絡(luò)服務(wù)的訪問控制。對于像 Apache 、Samba、NFS、vsftp 、MySQL、Bind dns 等服務(wù)來說，SELinux 僅僅開放了最基本的運(yùn)行需求。至于連接外部網(wǎng)絡(luò)、運(yùn)行腳本、訪問用戶目錄、共享文件等，必須經(jīng)過一定的 SELinux 策略調(diào)整才能充分發(fā)揮網(wǎng)絡(luò)服務(wù)器的作用，在安全和性能直接獲取平衡。

SELinux 環(huán)境下的 Apache 配置

Apache 的 SELinux 的文件類型

當(dāng)啟用 SELinux 是，Apache HTTP 服務(wù)器（httpd）默認(rèn)情況下在受限的 httpd_t 域中運(yùn)行，并和其他受限制的網(wǎng)絡(luò)服務(wù)分開。即使一個(gè)網(wǎng)絡(luò)服務(wù)被攻擊者破壞，攻擊者的資源和可能造成的損害是有限的。下面的示例演示的是 SELinux 下的  httpd 進(jìn)程。

 $ ps -eZ | grep httpd 
 unconfined_u:system_r:httpd_t:s0 2850 ?        00:00:00 httpd 
 unconfined_u:system_r:httpd_t:s0 2852 ?        00:00:00 httpd 
…… 

和 SELinux 上下文相關(guān)的  httpd 進(jìn)程是  system_u:system_r:httpd_t:s0。 httpd 進(jìn)程都運(yùn)行在  httpd_t 域中。文件類型必須正確設(shè)置才能讓 httpd 訪問 。例如 httpd 可以讀取文件類型是  httpd_sys_content_t，但不能寫和修改。此外 httpd 不能訪問 samba_share_t 類型的文件（Samba 訪問控制的文件），也不能訪問用戶主目錄中被標(biāo)記為與 user_home_t 文件類型，主要是防止 httpd 讀寫用戶主目錄中的文件并且繼承其訪問權(quán)限。httpd 可以讀寫的文件類型是  httpd_sys_content_rw_t。Apache 默認(rèn)的文檔根目錄類型是 httpd_sys_content_t。除非另外設(shè)置 httpd 只能訪問 / var/www/html/ 目錄中的 httpd_sys_content_t 類型的文件和子目錄。此外 SELinux 還針對 httpd 定義了一些文件類型：

• httpd_sys_content_t 主要用于提供靜態(tài)內(nèi)容服務(wù)的文件，如 HTML 靜態(tài)網(wǎng)站使用的文件。這種類型的標(biāo)記文件可以訪問（只讀）httpd 和執(zhí)行腳本 httpd。默認(rèn)情況下，這種類型的文件和目錄標(biāo)記不能被寫入或修改 httpd 或其他進(jìn)程。注意：默認(rèn)情況下，創(chuàng)建的文件或復(fù)制到的 /var/www/html/httpd_sys_content_t 類型的標(biāo)記。
• httpd_sys_script_exec_t 主要用于設(shè)置 /var/www/cgi-bin/ 目錄下的 cgi 腳本。默認(rèn)情況下 SELinux 策略防止 httpd 執(zhí)行 CGI 腳本。
• httpd_sys_content_rw_t 使用 httpd_sys_content_rw_t 的類型標(biāo)簽讀取和寫腳本標(biāo)記文件 httpd_sys_script_exec_t 的類型。
• httpd_sys_content_ra_t 使用 httpd_sys_content_ra_t 的類型標(biāo)簽將讀取和附加標(biāo)記的腳本文件 httpd_sys_script_exec_t 類型。

如果需要修改文件和目錄的 SELinux 類型屬性時(shí)可以使用三個(gè)命令：chcon、 semanage fcontext 和 restorecon 命令 。說明：使用 chcon 命令來對文件的類型進(jìn)行重新標(biāo)識。然而，這樣的標(biāo)識不是永久性的修改，一旦系統(tǒng)重啟，該標(biāo)識就會(huì)改變回去。對于文件類型的永久性改變，需要采用 semanage 命令。chcon、 semanage fcontext 和 restorecon 三個(gè)命令是本文的重點(diǎn)下面首先介紹一下使用方法：

（1）chcon 命令

作用：chcon 命令用來改變 SELinux 文件屬性即修改文件的安全上下文

用法：chcon [ 選項(xiàng) ] CONTEXT 文件

主要選項(xiàng) :

-R：遞歸改變文件和目錄的上下文。

--reference：從源文件向目標(biāo)文件復(fù)制安全上下文

-h, --no-dereference：影響目標(biāo)鏈接。

-v, --verbose：輸出對每個(gè)檢查文件的診斷。

-u, --user=USER：設(shè)置在目標(biāo)用戶的安全上下文。

-r,--role=ROLE：設(shè)置目標(biāo)安全領(lǐng)域的作用。

-t, --type=TYPE：在目標(biāo)設(shè)定的安全上下文類型。

-l, --range=RANGE：設(shè)置 set role ROLE in the target security context 目標(biāo)安全領(lǐng)域的范圍。

-f：顯示少量錯(cuò)誤信息。

（2）restorecon 命令

作用：恢復(fù) SELinux 文件屬性文件屬性即恢復(fù)文件的安全上下文

用法：restorecon [-iFnrRv] [-e excludedir ] [-o filename ] [-f filename | pathname...]

主要選項(xiàng) :

-i：忽略不存在的文件。

-f：infilename 文件 infilename 中記錄要處理的文件。

-e：directory 排除目錄。

-R – r：遞歸處理目錄。

-n：不改變文件標(biāo)簽。

-o outfilename：保存文件列表到 outfilename，在文件不正確情況下。

– v：將過程顯示到屏幕上。

-F：強(qiáng)制恢復(fù)文件安全語境。

說明；restorecon 命令和 chcon 命令類似，但它基于當(dāng)前策略默認(rèn)文件上下文文件設(shè)置與文件有關(guān)的客體的安全上下文，因此，用戶沒有指定一個(gè)安全上下文，相反，restorecon 使用文件上下文文件的條目匹配文件名，然后應(yīng)用特定的安全上下文，在某些情況下，它是在還原正確的安全上下文。

（3）semanage fcontext 命令

作用：管理文件安全上下文

用法：

semanage fcontext [-S store] -{a|d|m|l|n|D} [-frst] file_spec
semanage fcontext [-S store] -{a|d|m|l|n|D} -e replacement target

主要選項(xiàng) :

-a：添加

-d：刪除

-m：修改

-l：列舉

-n：不打印說明頭

-D：全部刪除

-f：文件

-s：用戶

-t：類型

r：角色

Apache 的 SELinux 的布爾變量

對于網(wǎng)絡(luò)服務(wù)而言，SElinux 僅僅開放了最低運(yùn)行需求，為了發(fā)揮 Apache 服務(wù)器的功能還必須把布爾值必須打開，以允許某些行為包括允許 httpd 腳本網(wǎng)絡(luò)訪問， 允許 httpd 訪問 NFS 和 CIFS 文件系統(tǒng)， 允許執(zhí)行通用網(wǎng)關(guān)接口（CGI）腳本 ?？梢允褂妹?getsebool 查詢當(dāng)前布爾變量。然后可以使用下面的 setsebool 命令開放布爾變量：

 #setsebool – P  httpd_enable_cgi on 

下面是常用的布爾變量：

• allow_httpd_anon_write 禁用時(shí)這個(gè)布爾變量允許的 httpd 到只有標(biāo)記文件 public_content_rw_t 類型的讀取訪問。啟用此布爾變量將允許的 httpd 寫入到文件標(biāo)記與一個(gè)公共文件目錄包 ​​ 含一個(gè)公共文件傳輸服務(wù)，如 public_content_rw_t 類型。
• allow_httpd_mod_auth_pam 啟用此布爾變量允許 mod_auth_pam 模塊訪問 httpd。
• allow_httpd_sys_script_anon_write 這個(gè)布爾變量定義 HTTP 腳本是否允許寫訪問到文件標(biāo)記在一個(gè)公共文件傳輸服務(wù) public_content_rw_t 類型。
• httpd_builtin_scripting 這個(gè)布爾變量定義 httpd 的腳本的訪問。在這個(gè)布爾變量啟用，往往需要為 PHP 內(nèi)容。
• httpd_can_network_connect 禁用時(shí)這個(gè)布爾變量防止從網(wǎng)絡(luò)或遠(yuǎn)程端口發(fā)起連接的 HTTP 腳本和模塊。打開這個(gè)布爾變量允許這種訪問。
• httpd_can_network_connect_db 禁用時(shí)這個(gè)布爾變量防止發(fā)起一個(gè)連接到數(shù)據(jù)庫服務(wù)器的 HTTP 腳本和模塊。打開這個(gè)布爾變量允許這種訪問。
• httpd_can_network_relay 打開這個(gè)當(dāng)布爾變量的 httpd 正在使用正向或反向代理。
• httpd_can_sendmail 禁用時(shí)這個(gè)布爾變量防止發(fā)送郵件的 HTTP 模塊。這可以防止垃圾郵件的攻擊漏洞中發(fā)現(xiàn)的 httpd。打開這個(gè)布爾變量允許 HTTP 模塊發(fā)送郵件。
• httpd_dbus_avahi 關(guān)閉時(shí)這個(gè)布爾變量拒絕服務(wù)的 avahi 通過 D-BUS 的 httpd 訪問。打開這個(gè)布爾變量允許這種訪問。
• httpd_enable_cgi 禁用時(shí)這個(gè)布爾變量防止 httpd 的執(zhí)行 CGI 腳本。打開這個(gè)布爾變量讓 httpd 的執(zhí)行 CGI 腳本。
• httpd_enable_ftp_server 開放這個(gè)布爾變量會(huì)容許的 httpd 作為 FTP 服務(wù)器的 FTP 端口和行為。
• httpd_enable_homedirs 禁用時(shí)這個(gè)布爾變量阻止訪問用戶主目錄的 httpd。打開這個(gè)布爾變量允許 httpd 訪問用戶主目錄。
• httpd_execmem 啟用時(shí)這個(gè)布爾變量允許 httpd 的執(zhí)行程序需要的內(nèi)存地址。建議不要啟用這個(gè)布爾變量從安全角度來看，因?yàn)樗鼫p少了對緩沖區(qū)溢出，但是某些模塊和應(yīng)用程序（如 Java 和 Mono 應(yīng)用）的保護(hù)需要這種特權(quán)。
• httpd_ssi_exec 這個(gè)布爾變量定義服務(wù)器端包含（SSI）的網(wǎng)頁中的元素是否可以執(zhí)行。
• httpd_tty_comm 這個(gè)布爾變量定義的 httpd 是否被允許訪問的控制終端。這種訪問通常是不需要的，但是，如配置 SSL 證書文件的情況下，終端訪問所需的顯示和處理一個(gè)密碼提示。
• httpd_use_cifs 打開這個(gè)布爾變量允許 httpd 訪問 CIFS 文件系統(tǒng)上標(biāo)記的文件，如通過 Samba 掛載的文件系統(tǒng)，cifs_t 類型。
• httpd_use_nfs 打開這個(gè)布爾變量允許 httpd 訪問 NFS 文件系統(tǒng)上的標(biāo)記文件 nfs_t 類型，如文件系統(tǒng)，通過 NFS 掛載。

幾個(gè)配置實(shí)例：

（1） 運(yùn)行一個(gè)靜態(tài) web 網(wǎng)頁

假設(shè)使用如下命令：mkdir /mywebsite ，建立一個(gè)文件夾作為 Apache 服務(wù)器的文檔根目錄。可以使用如下命令查看其文件屬性：

 # ls -dZ /mywebsite 
 drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /mywebsite 

按照 SELinux 策略規(guī)定和繼承原則，/mywebsite 目錄和其中的文件會(huì)具有 default_t 類型，，包括以后創(chuàng)建的文件或者子目錄也會(huì)繼承和擁有這種類型，這樣受限的 httpd 進(jìn)程是不能訪問的，可以使用 chcon 和 restorecon 命令修改 /mywebsite 的文件類型屬性，確保之后建立的文件和復(fù)制的文件具有相同  httpd_sys_content_t 的類型，從而使受限的 httpd 進(jìn)程能夠訪問。

 # chcon -R -t httpd_sys_content_t /mywebsite 
 # touch /mywebsite/index.html 
 # ls -Z /mywebsite /website/index.html 
-rw-r--r--  root root unconfined_u:object_r:httpd_sys_content_t:s0 /mywebsite /index.html 

下面修改  /etc/httpd/conf/httpd.conf 文件，改為：

 #DocumentRoot "/var/www/html"
 DocumentRoot "/mywebsite"

然后重啟 Apache 服務(wù)器。

如果要要徹底修改 /mywebsite 的文件類型屬性，使之重新啟動(dòng)后設(shè)置還有效，可以使用 semanage fcontext 和 restorecon 命令

 # semanage fcontext -a -t httpd_sys_content_t "/mywebsite(/.*)?"
 # restorecon -R -v /mywebsite 

（2） 共享 NFS 和 CIFS 文件系統(tǒng)

默認(rèn)情況下，在客戶端的 NFS 掛載 NFS 文件系統(tǒng)的政策定義一個(gè)默認(rèn)的上下文標(biāo)記這個(gè)默認(rèn)的上下文使用 nfs_t 類型。此外默認(rèn)情況下，Samba 共享客戶端上安裝有策略的定義一個(gè)默認(rèn)的上下文標(biāo)記。這個(gè)默認(rèn)的上下文使用 cifs_t 類型。根據(jù) SELinux 策略配置，Apache 服務(wù)可能無法讀取 nfs_t 或 cifs_t 類型。通過設(shè)置布爾值開啟或關(guān)閉來控制哪個(gè)服務(wù)被允許訪問 nfs_t 和 cifs_t 類型。

例如使用 setsebool 命令打開 httpd_use_nfs 布爾變量后，httpd 即可訪問 nfs-t 類型的 nfs 共享資源了：

 # setsebool -P httpd_use_nfs on 

例如使用 setsebool 命令打開 httpd_use_cifs 布爾變量后，httpd 即可訪問 cifs_t 類型的 cifs 共享資源了：

 # setsebool -P httpd_use_cifs on 

（3）更改端口號

根據(jù)策略配置，服務(wù)可能只被允許運(yùn)行在特定的端口號 。試圖改變服務(wù)運(yùn)行的端口，在不改變政策，可能導(dǎo)致啟動(dòng)失敗的服務(wù)。首先查看一下 SELinux 允許 HTTP 偵聽 TCP 端口，使用命令：

# semanage port -l | grep -w http_port_t

http_port_t tcp 80, 443, 488, 8008, 8009, 8443

可以看到默認(rèn)情況下，SELinux 允許 HTTP 偵聽 TCP 端口 80，443，488，8008，8009 或 8443。假設(shè)要把端口號 80 修改為 12345 ，下面看看修改端口號的方法：

修改配置文件  /etc/httpd/conf/httpd.conf 為

 # Change this to Listen on specific IP addresses as shown below to 
 # prevent Apache from glomming onto all bound IP addresses (0.0.0.0) 
 #Listen 12.34.56.78:80 
 Listen 10.0.0.1:12345 

使用命令修改：

 # semanage port -a -t http_port_t -p tcp 12345 

然后確認(rèn)一下：

 # semanage port -l | grep -w http_port_t 
 http_port_t                    tcp      12345, 80, 443, 488, 8008, 8009, 8443 

SELinux 環(huán)境下 Samba 配置

Samba 的 SELinux 的文件類型

SELinux 環(huán)境中，Samba 服務(wù)器的 smbd 和 nmbd 守護(hù)進(jìn)程都是在受限的 smbd_t 域中運(yùn)行。并且和其他受限的網(wǎng)絡(luò)服務(wù)相互隔離。下面的示例演示的是 SELinux 下的  smb 進(jìn)程

 $ ps -eZ | grep smb 
 unconfined_u:system_r:smbd_t:s0 16420 ?        00:00:00 smbd 
 unconfined_u:system_r:smbd_t:s0 16422 ?        00:00:00 smbd 

缺省情況下，smbd 只能讀寫 samba_share_t 類型的文件 , 不能讀寫 httpd_sys_content_t 類型的文件。如果希望 smbd 能讀寫 httpd_sys_content_t 類型的文件，可以重新標(biāo)記文件的類型。另外還可以修改布爾值如允許 Samba 提供 NFS 文件系統(tǒng)等共享資源。如果需要修改文件和目錄的 SELinux 類型屬性時(shí)可以使用三個(gè)命令：chcon、 semanage fcontext 和 restorecon 命令 。

Samba 的 SELinux 的布爾變量

SELinux 也為 Samba 提供了一些布爾變量用來調(diào)整 SELinux 策略，如果希望 Samba 服務(wù)器共享 NFS 文件系統(tǒng)，可以使用如下命令：

# setsebool -P samba_share_nfs on

下面是常用的布爾變量；

• allow_smbd_anon_write 開放此布爾變量啟用允許 smbd 保留一個(gè)區(qū)域的共同文件。
• samba_create_home_dirs 開放此布爾變量啟用允許 Samab 獨(dú)立創(chuàng)建新的主目錄。這通常是用于 PAM 機(jī)制。
• samba_domain_controller 當(dāng)啟用此布爾變量時(shí)允許 Samba 作為域控制器，以及賦予它的權(quán)限執(zhí)行相關(guān)的命令，如使用 useradd，groupadd 的 和 passwd 。
• samba_enable_home_dirs 啟用此布爾變量允許 Samba 共享用戶的主目錄。
• samba_export_all_rw 啟用此布爾變量允許公布任何文件或目錄，允許讀取和寫入權(quán)限。
• samba_run_unconfined 啟用此布爾變量允許允許的 Samba 運(yùn)行 / var / lib/samba/ scripts 目錄中的腳本。
• samba_share_nfs 啟用此布爾變量將允許 Samba 共享 NFS 文件系統(tǒng)。
• use_samba_home_dirs 啟用此布爾變量可以使用遠(yuǎn)程服務(wù)器 Samba 的主目錄。
• virt_use_samba 允許虛擬機(jī)訪問 CIFS 文件。

配置實(shí)例

（1） 共享一個(gè)新建的目錄

受限創(chuàng)建一個(gè)目錄作為 Samba 的共享資源，然后在目錄下建立一個(gè)文件檢驗(yàn)共享是否成功。

 #mkdir /myshare 
 #touch /myshare/file1 

設(shè)置創(chuàng)建目錄和目錄中文件的類型

 #semanage fcontext -a -t samba_share_t "/myshare(/.*)?"
 # restorecon -R -v /myshare 

修改 Samba 配置文件 /etc/samba/smb.conf，添加共享資源定義包括如下行：：

 [myshare] 
 comment = My share 
 path = /myshare 
 public = yes 
 writeable = yes 
創(chuàng)建一個(gè) samba 用戶
 # smbpasswd -a testuser 
 New SMB password: Enter a password 
 Retype new SMB password: Enter the same password again 
 Added user testuser. 

啟動(dòng) Samba 服務(wù)

 service smb start 

查詢可以使用的共享資源：

 $ smbclient -U testuser -L localhost 

使用 mount 命令掛載共享資源，并且檢驗(yàn)文件：

 #mount //localhost/myshare /test/ -o user= testuser 
 # ls /test/ 

（2）共享一個(gè)網(wǎng)頁

如果要共享一個(gè)網(wǎng)頁文件目錄如 Apache 服務(wù)器的  /var/www/html，是不能使用文件類型的。此時(shí)可以使用  samba_export_all_ro 和  samba_export_all_rw 兩個(gè)布爾值變量，達(dá)到共享目錄和文件的目的。步驟如下：

修改 samba 配置文件，添加如下行：

 [website] 
 comment = Sharing a website 
 path = /var/www/html/ 
 public = yes 
 writeable = yes 

開放 samba_export_all_ro 布爾值變量

 #setsebool -P samba_export_all_ro on 

設(shè)置權(quán)限：

 #chmod 777 /var/www/html/ 

共享目錄：

 #mount //localhost/myshare /test/ -o user= testuser 
 # ls /test/ 

回頁首

SELinux 環(huán)境下 NFS 配置

NFS 的 SELinux 的文件類型

SELinux 環(huán)境中，nfs 服務(wù)器的守護(hù)進(jìn)程都是在受限的 nfs_t 域中運(yùn)行。并且和其他受限的網(wǎng)絡(luò)服務(wù)相互隔離。SELinux 策略不允許使用 NFS 共享遠(yuǎn)程文件。如果一定要共享遠(yuǎn)程文件，可以使用 nfs_export_all_ro 和  nfs_export_all_rw 等布爾值變量調(diào)整 SELinux 的策略。按照 SELinux 的策略規(guī)定客戶端安裝 NFS 文件系統(tǒng)采用的默認(rèn)文件系統(tǒng)是 nfs_t，此外 SELinux 還針對 nfsd 定義了一些文件類型：

• var_lib_nfs_t 這種類型用于現(xiàn)有的和新的文件復(fù)制或在創(chuàng)建的 /var/lib/nfs 目錄中。在正常運(yùn)行這種類型應(yīng)該不需要改變。要恢復(fù)到默認(rèn)設(shè)置，可以使用超級用戶權(quán)限運(yùn)行命令：restorecon -R -v /var/lib/nfs。
• nfsd_exec_t /usr/sbin/rpc.nfsd 程序文件和其他涉及到 NFS 可執(zhí)行文件和庫都是這種類型。其他文件不使用此類型的任何文件。

NFS 的 SELinux 的布爾變量

SELinux 提供了幾個(gè)布爾變量用來調(diào)整 NFS，你可以在系統(tǒng)安全和 NFS 功能之間取得平衡。例如：

將本機(jī)的 NFS 共享設(shè)置成可讀可寫，需要開放相關(guān)布爾值變量：

 #setsebool -P nfs_export_all_rw on 

如果你想要將遠(yuǎn)程 NFS 的家目錄共享到本機(jī)，需要開放相關(guān)布爾值變量：

 #setsebool -P use_nfs_home_dirs on 

下面是常用的布爾變量；

• allow_ftpd_use_nfs 當(dāng)啟用時(shí)這個(gè)布爾變量允許 ftpd 訪問 NFS 掛載。
• allow_nfsd_anon_write 當(dāng)啟用時(shí)這個(gè)布爾變量允許寫入到一個(gè)公共目錄匿名 nfsd。
• httpd_use_nfs 當(dāng)啟用時(shí)這個(gè)布爾變量容許的 httpd 訪問一個(gè) NFS 文件系統(tǒng)上存儲(chǔ)的文件。
• nfs_export_all_ro 當(dāng)啟用時(shí)這個(gè)布爾變量允許任何文件或目錄通過 NFS 導(dǎo)出，允許只讀權(quán)限。
• nfs_export_all_rw 當(dāng)啟用時(shí)這個(gè)布爾變量允許任何通過 NFS 導(dǎo)出的文件或目錄，允許讀取和寫入權(quán)限。
• qemu_use_nfs 當(dāng)啟用時(shí)這個(gè)布爾變量允許 QEMU 使用 NFS 文件系統(tǒng)。
• samba_share_nfs 啟用此布爾變量將允許 Samba 共享 NFS 文件系統(tǒng)。
• use_nfs_home_dirs 當(dāng)啟用時(shí)這個(gè)布爾變量允許將支持 NFS 主目錄。
• virt_use_nfs 當(dāng)啟用時(shí)這個(gè)布爾變量允許虛擬機(jī)訪問 NFS 文件。
• xen_use_nfs 當(dāng)啟用時(shí)這個(gè)布爾變量允許 Xen 使用 NFS 文件。

一個(gè)例子

這個(gè)例子中 NFS 服務(wù)器的 IP 地址 192.168.1.1，NFS 客戶端的 IP 地址為 192.168.1.10，兩臺(tái)主機(jī)在同一子網(wǎng)（192.168.1.0/24）。

首先在 NFS 服務(wù)器端使用 setsebool 命令確保 nfs_export_all_rw 布爾變量已經(jīng)打開，使得 NFS 客戶端能夠以只讀的方式安裝 NFS 文件系統(tǒng)。然后創(chuàng)建一個(gè)頂級目錄，作為共享資源，然后在目錄中建立一個(gè)文件提供給客戶端訪問，命令如下：

 #setsebool  -P nfs_export_all_rw on 
 #mkdir – p /share/nfs 
 #cp /etc/profile /share/nfs/test 
＃ chmod  - R 777 /share/nfs 

下面編輯 /etc/exports 文件把共享資源加入。

 /share/nfs 	 192.168.1.10(rw) 

確保防火墻修改設(shè)置正確。然后啟動(dòng) nfs 服務(wù)

 # service nfs start 
 Starting NFS services: 		 [  OK  ] 
 Starting NFS quotas: 		 [  OK  ] 
 Starting NFS daemon: 		 [  OK  ] 
 Starting NFS mountd: 		 [  OK  ] 

運(yùn)行 exports 命令確保共享資源公布，使用 showmount 命令查詢共享資源。

 #exportfs -rv 
 exporting 192.168.1.10:/share/nfs 
 # showmount -e 
 Export list for nfs-srv: 
 /share/nfs 192.168.1.10 

下面在 NFS 客戶端可以使用命令掛載 NFS 服務(wù)器的共享資源了 :

 # mount.nfs 192.168.1.1:/share/nfs /mnt 
 # ls /mnt 
 total 0 
 -rwxrwxrwx.  1 root root 0 2012-01-16 12:07 test 

 原文：http://www.ibm.com/developerworks/cn/linux/l-cn-selinux-services1/index.html?ca=drs-